🍪 Uso de Cookies

Este site utiliza cookies para melhorar sua experiência de navegação e fornecer funcionalidades personalizadas. Ao continuar navegando, você concorda com nossa Política de Privacidade e nossos Termos de Uso.

Valente Soluções
  • Inicio
  • Quem Somos
  • Serviços
  • Blog
  • Portfólio
  • Contato

DirtyClone e pedit COW expõem falhas críticas no kernel Linux

Como vulnerabilidades de copy-on-write permitem escalação de privilégios, dificultam a detecção por ferramentas tradicionais e reforçam a urgência de atualizar o kernel.

 Carlos Valente, em Julho 06, 2026 |  110 visualizações |  Tempo de leitura: 7 min - 1386 palavras.

Tweet Share Threads Share Share Share Tumblr Share Share

Administrador analisa vulnerabilidade crítica no kernel Linux em estação de trabalho
Falhas no kernel Linux podem permitir escalonamento de privilégios e comprometer sistemas em memória.

Imagine um cenário em que um usuário comum, sem qualquer privilégio administrativo, digita um comando simples no terminal. Em milissegundos, ele obtém acesso root, o nível de controle total que permite ler qualquer arquivo, interceptar dados de outros usuários e instalar portas dos fundos permanentes. O invasor passa a ser o dono da máquina.

O que torna esse ataque verdadeiramente aterrorizante para administradores de sistemas não é apenas o ganho de poder, mas sua invisibilidade. Diferentemente dos vírus convencionais, que deixam rastros no sistema de arquivos, essas novas ameaças, conhecidas como DirtyClone e pedit COW, operam inteiramente na memória RAM. Elas exploram o mecanismo de Copy-on-Write (COW), transformando uma ferramenta essencial de otimização do sistema em uma arma de manipulação silenciosa que ferramentas de segurança tradicionais são incapazes de detectar.

O conceito fundamental: O que é Copy-on-Write (COW)?

Para compreender a gravidade dessas falhas, precisamos entender como o kernel, o núcleo que gerencia o hardware e o software, economiza recursos. Imagine que vários processos precisam ler o mesmo arquivo grande. Em vez de criar várias cópias na memória, o kernel compartilha uma única versão original. Enquanto ninguém tenta editar o arquivo, o sistema economiza memória de forma eficiente.

Essa técnica é o Copy-on-Write, ou cópia na escrita. O kernel mantém o arquivo original no Page Cache, uma área da memória RAM onde o sistema guarda cópias temporárias de arquivos do disco para acelerar o acesso. Se um processo decidir escrever dados, o kernel deveria, teoricamente, criar instantaneamente uma cópia privada apenas para esse processo, protegendo o original compartilhado. O risco catastrófico ocorre quando esse contrato de proteção falha, permitindo que um usuário modifique a versão original que todos os outros processos, incluindo os do administrador, estão usando.

Janelas de tempo minúsculas, conhecidas como timing windows, podem ser suficientes para contornar as proteções nas quais milhões de sistemas Linux ao redor do mundo confiam.

Visualização conceitual de Copy-on-Write e Page Cache em ambiente Linux
O mecanismo de Copy-on-Write economiza memória, mas falhas em sua proteção podem comprometer o isolamento entre processos.

DirtyClone: O ataque que manipula a criptografia

A vulnerabilidade DirtyClone, identificada como CVE-2026-43503, não é um evento isolado, mas uma evolução sofisticada da família de falhas DirtyFrag. Ela ocorre quando o kernel, ao duplicar um pacote de rede, esquece de carregar uma bandeira de segurança crucial chamada SKBFL_SHARED_FRAG. Sem esse sinalizador, o sistema perde o controle de que aquela memória está vinculada a um arquivo importante no disco.

O processo de ataque é uma obra de engenharia de exploits, códigos criados para aproveitar uma falha:

  1. O invasor usa a função vmsplice() para conectar um arquivo sensível do sistema, como o binário /bin/su, a um pacote de rede na memória.
  2. Ele força o kernel a clonar esse pacote. Como a bandeira de segurança se perde no processo, o kernel passa a acreditar que a memória do clone é privada e segura para escrita.
  3. O invasor envia esse clone por meio de um túnel IPsec, protocolo de VPN que ele mesmo controla.
  4. Ao realizar a descriptografia AES-CBC, o kernel escreve o código malicioso diretamente na memória compartilhada, acreditando estar apenas descriptografando um pacote legítimo.

A ironia técnica é notável: o atacante usa um processo de segurança, a criptografia, como uma primitiva de escrita para corromper o sistema. Por ser executado por caminhos internos de rede, o DirtyClone é silencioso por design, sem gerar registros em logs de auditoria do kernel.

pedit COW: Um erro de cálculo no tráfego de dados

A falha pedit COW, identificada como CVE-2026-46331, reside no subsistema Traffic Control (TC), que atua como um guarda de trânsito ao organizar os pacotes de rede por meio do módulo act_pedit.

Essa falha é um exemplo clássico de TOCTOU, sigla para Time-of-Check to Time-of-Use, ou tempo de verificação versus tempo de uso. O kernel verifica se tem permissão para escrever em uma área de memória antes de calcular o endereço final onde a escrita ocorrerá. Quando o cálculo é finalmente feito em tempo de execução, a escrita atinge uma região fora da área segura, conhecida como out-of-bounds.

Isso permite envenenar binários SUID root, arquivos que têm permissão para rodar como administrador, como o comando su. O invasor injeta um código malicioso diretamente na memória RAM desse comando. Quando o próximo usuário, ou o próprio invasor, executa o comando su, o sistema carrega a versão corrompida do Page Cache e entrega um shell, uma interface de comando, com poderes totais de administrador.

Laboratório Linux analisando tráfego de rede e segurança de kernel
Falhas em subsistemas de rede podem transformar operações internas do kernel em caminhos de escrita maliciosa.

Por que as ferramentas de segurança não veem o invasor?

A maioria das defesas cibernéticas modernas foca na integridade de arquivos, verificando o hash, uma assinatura digital, dos arquivos armazenados no HD ou SSD. No entanto, o DirtyClone e o pedit COW subvertem essa lógica:

  • Arquivo no disco: estático e íntegro. Ferramentas como AIDE ou Tripwire analisam o disco e reportam que o sistema está íntegro.
  • Arquivo no Page Cache: dinâmico e corrompido. O kernel está executando a versão maliciosa que vive apenas na RAM.
  • Logs de auditoria: como as falhas ocorrem em caminhos rápidos de rede e manipulação de memória de baixo nível, elas frequentemente não disparam os alertas de escrita de arquivos que o auditd monitoraria.

Um reboot, ou reinício do sistema, apaga os vestígios da memória RAM, mas não cancela os acessos, senhas trocadas ou processos persistentes que o hacker pode ter configurado enquanto tinha poderes de root.

O papel dos namespaces e o perigo do acesso local

Essas falhas são críticas em ambientes de nuvem e containers, como Kubernetes. Para disparar o gatilho do bug, o invasor precisa da permissão CAP_NET_ADMIN. Em sistemas normais, apenas o root a possui.

Contudo, o Linux utiliza namespaces, que podemos imaginar como quartos isolados dentro do sistema. Distribuições como Debian e Fedora permitem, por padrão, que usuários comuns criem esses quartos. Dentro desse isolamento, o usuário ganha a permissão necessária para configurar as regras de rede maliciosas que ativam as vulnerabilidades contra o sistema principal. O Ubuntu, embora utilize o AppArmor para restringir esses namespaces e dificultar o ataque, ainda possui um kernel subjacente vulnerável se essas proteções forem contornadas.

Como se proteger: atualizações e mitigações

A única solução definitiva é a atualização imediata do kernel para versões que corrigem o contrato de compartilhamento de memória.

Ações recomendadas:

  1. Atualize para as versões estáveis do kernel: 6.11.8, 6.12.1 ou v7.1-rc7+, dependendo da sua distribuição.
  2. Se a atualização imediata for impossível, desative a criação de namespaces por usuários sem privilégios:
  • sysctl -w kernel.unprivileged_userns_clone=0
  • sysctl -w user.max_user_namespaces=0, específico para sistemas RHEL
  1. Bloqueie o carregamento do módulo vulnerável do pedit, caso ele não seja utilizado:
  • echo 'install act_pedit /bin/true' | sudo tee /etc/modprobe.d/disable-act_pedit.conf

Aviso: essas mitigações podem impedir o funcionamento de navegadores modernos, como Chrome, ferramentas de container e ambientes de desenvolvimento que dependem de isolamento de processos.

Conclusão

As vulnerabilidades DirtyClone e pedit COW demonstram que a segurança do Linux não depende apenas de permissões de arquivos, mas também da forma como o kernel gerencia o complexo compartilhamento de memória entre processos. Elas provam que falhas em otimizações de desempenho podem quebrar o contrato fundamental de segurança do sistema operacional.

A lição para administradores é clara: em um mundo onde exploits públicos surgem horas após a descoberta de uma falha, a velocidade da correção técnica é a única defesa real. Se o seu sistema fosse comprometido apenas na memória, sem alterar um único arquivo no disco, como você saberia que ainda está seguro?

Leia também

Para aprofundar a discussão sobre segurança digital, vulnerabilidades, sistemas e proteção de dados, veja também estes conteúdos relacionados.

  • Escudo Digital: Guia Prático de Cibersegurança para o Dia a Dia
  • Zima OS: seu sistema operacional privado, seguro e livre
  • Quando a inteligência artificial vira arma digital

Consultoria em segurança digital

A Valente Soluções oferece consultoria especializada para avaliar riscos, fortalecer ambientes, orientar atualizações críticas e apoiar empresas na proteção de servidores, estações de trabalho, dados e processos digitais. Para conversar sobre segurança da informação, proteção de infraestrutura e boas práticas em ambientes Linux, fale conosco.

Nota: Todas as imagens utilizadas neste artigo foram geradas com o auxílio de inteligência artificial por meio do ChatGPT 5.5 e Nano Banana 2, com o objetivo de ilustrar o conteúdo de forma didática e acessível aos nossos leitores.

Tags

 Linux  kernel  DirtyClone  pedit COW  copy-on-write  escalação de privilégios  CVE  segurança digital  vulnerabilidades

Leia Também

1.
DirtyClone e pedit COW expõem falhas críticas no kernel Linux
06 Jul, 2026
2.
A nova ameaça que está transformando celulares Android em ferramentas para fraudes bancárias
24 Jun, 2026
3.
206 vulnerabilidades corrigidas: o Patch Tuesday que entrou para a história
17 Jun, 2026
4.
Google libera mudança de endereço do Gmail no Brasil
03 Jul, 2026
5.
A Anatel quer cuidar da cibersegurança do Brasil. Isso é uma boa ideia?
26 Jun, 2026

Política de Privacidade


Na Valente Soluções em Informática, privacidade e segurança são prioridades e nos comprometemos com a transparência do tratamento de dados pessoais dos nossos usuários/clientes. Por isso, esta presente Política de Privacidade estabelece como é feita a coleta, uso e transferência de informações de clientes ou outras pessoas que acessam ou usam nosso site.

Ao utilizar nossos serviços, você entende que coletaremos e usaremos suas informações pessoais nas formas descritas nesta Política, sob as normas da Constituição Federal de 1988 (art. 5º, LXXIX; e o art. 22º, XXX – incluídos pela EC 115/2022), das normas de Proteção de Dados (LGPD, Lei Federal 13.709/2018), das disposições consumeristas da Lei Federal 8078/1990 e as demais normas do ordenamento jurídico brasileiro aplicáveis.

Dessa forma, a VALENTE SOLUÇÕES EM INFORMÁTICA, doravante denominada simplesmente como "Valente Soluções", inscrita no CNPJ/MF sob o nº 25.338.191/0001-58, no papel de Controladora de Dados, obriga-se ao disposto na presente Política de Privacidade.

Cookies

A Valente Soluções não solicita ou guarda nenhum dado pessoal dos usuários em nosso banco de dados. Porém utilizamos cookies, que são arquivos de texto enviados pela plataforma ao seu computador e que nele se armazenam, que contém informações relacionadas à navegação do site. Em suma, os Cookies são utilizados para aprimorar a experiência de uso. Você pode desativar completamente esses cookies nas opções do seu browser. Entretanto, isso pode afetar sua experiência com nosso site e até com outros.

Para gerenciar os cookies do seu navegador, basta fazê-lo diretamente nas configurações do navegador, na área de gestão de Cookies. Você pode acessar tutoriais sobre o tema diretamente nos links abaixo:

  • Se você usa o Google Chrome
  • Se você usa o Mozilla Firefox
  • Se você usa o Microsoft Edge
  • Se você usa o Internet Explorer
  • Se você usa o Opera
  • Se você usa o Safari

Google Analytics

Este site usa o Google Analytics, um serviço de análise web fornecido pela Google, Inc. ("Google"). O Google Analytics utiliza uma forma específica de "cookies", ou seja, arquivos de texto, que são armazenados no seu computador e permitem a análise do seu uso do site. A informação gerada pelo cookie acerca da sua utilização do site será transmitida e armazenada em um servidor da Google nos EUA.

Gostaríamos de salientar que o Google Analytics foi ampliado neste site para incluir o código "gat._anonymizeIp ();" a fim de garantir a gravação anônima de endereços IP (as chamadas máscaras de IP). Devido à anonimização do IP neste site, seu endereço IP é abreviado pela Google dentro do território da União Europeia e do Tratado da Comunidade Econômica Europeia. Só em casos excepcionais é que o endereço IP completo é transmitido a um servidor da Google nos EUA e aí então abreviado.

A Google usa esta informação em nosso nome para analisar seu uso deste site, a fim de compilar relatórios sobre atividades do site e fornecer serviços adicionais relacionados ao uso do site e uso da Internet para o operador do site. O endereço IP transmitido para o Google Analytics pelo seu navegador não está consolidado com outros dados da Google.

Período de Armazenamento dos Seus Dados

Os dados fornecidos serão armazenados apenas durante o período necessário para realizar as respectivas finalidades para as quais nos transmitiu seus dados ou para o cumprimento das disposições legais.

Dados Coletados

Dados pessoais são informações que permitem identificação, tais como o nome, e-mail, telefone ou endereço. A Valente Soluções não coleta dados pessoais, exceto quando especificamente fornecidos nos atos de solicitação de orçamento, preenchimento do formulário de contato e salvo consentimento para a sua utilização.

Armazenamos, usamos ou transferimos seus dados pessoais apenas com seu consentimento e em situações como o processamento de uma solicitação de orçamento feita em nosso site, para responder às suas perguntas, pedidos de informações ou para informá-lo sobre novidades em nossos serviços.

Contato, Pedido de Informações, Revogação, Bloqueio, Exclusão

A qualquer momento e de forma gratuita, você poderá se opor ao uso dos seus dados pessoais, proceder à parcial ou total exclusão ou bloqueio ou pedir informações/retificações relativas aos seus dados pessoais armazenados por nós. Não é necessário preencher um formulário especial. Você pode, por exemplo, enviar um e-mail para [email protected].

Segurança dos Dados

Como dito nos tópicos acima, não armazenamos dados dos clientes em nosso banco de dados. Mesmo assim, mantemos nosso site sempre atualizado conforme a evolução das linguagens de programação e atualização das ferramentas do servidor de hospedagem. Nossos procedimentos de segurança são regularmente aprimorados, de modo a refletir o progresso tecnológico.

Atualizações e Alterações

Podemos alterar ou atualizar partes da declaração de privacidade de dados sem aviso prévio. Consulte regularmente a declaração de privacidade de dados antes de usar nosso site, para ficar a par das alterações e atualizações efetuadas.

Última atualização da declaração de privacidade de dados: agosto de 2025.

Inscreva-se

Gostaria de receber notícias e informações da Valente Soluções, sabendo que posso, a qualquer momento, remover meu e-mail da lista.

Menu Principal

  • Inicio
  • Quem Somos
  • Serviços
  • Blog
  • Portfólio
  • Contato

Feed RSS

Acompanhe nossos artigos sobre tecnologia, inteligência artificial, segurança digital, Linux, Windows e infraestrutura através do nosso feed RSS.


Logo Valente Soluções
© 2017 - Valente Soluções em Informática
Todos os direitos reservados.
Política de Privacidade | Termos de Uso