Security

CVE-2026-31431 Linux-sårbarhed forklaret

3 min læsning

Resumé

Microsoft har beskrevet CVE-2026-31431, en alvorlig lokal privilege escalation-sårbarhed i Linux, som kan give root-adgang på tværs af store distributioner og cloud-hostede workloads. Problemet er vigtigt, fordi det påvirker miljøer med delt kernel som containere og Kubernetes, hvilket øger risikoen for container escape, lateral movement og kompromittering af værter, hvis systemer ikke patches hurtigt.

Brug for hjælp med Security?Tal med en ekspert

Introduktion

Microsoft har udgivet ny vejledning om CVE-2026-31431, også kaldet Copy Fail, en alvorlig Linux kernel-sårbarhed, der kan lade en lokal uprivilegeret bruger opnå root-adgang. For IT- og sikkerhedsteams, der kører Linux i cloud-, CI/CD- og Kubernetes-miljøer, er dette en højt prioriteret sag, fordi et enkelt fodfæste kan føre til kompromittering af værten.

Hvad er nyt

CVE-2026-31431 er en local privilege escalation-sårbarhed i Linux kernelens kryptografiske subsystem, specifikt algif_aead-modulet i AF_ALG userspace crypto API.

Vigtige detaljer fra Microsoft:

  • Påvirker mange store Linux-distributioner, herunder Ubuntu, Red Hat, SUSE, Amazon Linux, Debian, Fedora og Arch
  • Påvirker kerner udgivet fra 2017 og frem indtil patched versioner er installeret
  • Har en CVSS-score på 7.8 (High)
  • Kræver kun lokal kodekørsel som en ikke-privilegeret bruger
  • Kan bruges til at korrumpere page cache for læsbare filer, herunder setuid-binære filer
  • Kan muliggøre container escape, multi-tenant-kompromittering og lateral movement

Microsoft bemærker, at selv om udbredt udnyttelse i den virkelige verden stadig er begrænset, er et fungerende proof of concept offentligt tilgængeligt, og tidlig testaktivitet er allerede observeret. Sårbarheden er også blevet tilføjet til CISA Known Exploited Vulnerabilities-kataloget, hvilket øger behovet for hurtig handling hos forsvarere.

Hvorfor dette er vigtigt for administratorer

Denne sårbarhed er især vigtig i miljøer, hvor upålidelig kode kan køre:

  • Kubernetes-klynger
  • Delte Linux-værter
  • CI/CD-runners
  • Containeriserede workloads
  • Multi-tenant cloud-infrastruktur

Fordi containere deler værtens kernel, kan udnyttelse inde fra en container potentielt påvirke hele noden. Det gør enhver container-RCE eller low-privilege shell langt mere alvorlig end normalt.

Anbefalede handlinger

Sikkerheds- og infrastrukturteams bør prioritere følgende trin:

  1. Kortlæg berørte Linux-systemer på tværs af servere, cloud workloads, containere og Kubernetes-noder.
  2. Anvend leverandørpatches med det samme, hvor de er tilgængelige.
  3. Hvis patches endnu ikke er tilgængelige, brug midlertidige mitigations som:
    • Blokering eller deaktivering af AF_ALG socket creation
    • Stramning af lokale adgangskontroller
    • Anvendelse af network isolation, hvor det er relevant
  4. Gennemgå logs og detection telemetry for tegn på udnyttelse eller mistænkelig local privilege escalation-aktivitet.
  5. Behandl enhver container compromise som potentiel host compromise og overvej hurtig genoprettelse af noder efter indikatorer på angreb.

Næste skridt

Organisationer, der bruger Microsoft Defender XDR, bør gennemgå tilgængelige detections og hunting guidance fra Microsoft. Givet bredden af eksponeringen og tilgængeligheden af exploit-kode er dette en sårbarhed, som Linux- og cloudadministratorer bør håndtere straks som en del af emergency patching og incident readiness-workflows.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Defender Security Research Team
Linux securityCVE-2026-31431Kubernetescloud securityprivilege escalation

Relaterede indlæg

Security

Microsoft Agent 365 GA med AI- og sikkerhedskontrol

Microsoft Agent 365 er nu generelt tilgængelig for kommercielle kunder og giver IT- og sikkerhedsteams en samlet kontrolflade til at observere, styre og sikre AI-agenter på tværs af Microsoft 365, endpoints og cloudmiljøer. Nye preview-funktioner udvider også synligheden til shadow AI, lokale Windows-agenter, multicloud-agentplatforme og policybaserede kontroller via Defender og Intune.

Security

E-mailtrusselslandskab Q1 2026: Microsoft-indsigter

Microsoft rapporterer 8,3 milliarder registrerede phishingmails i Q1 2026, mens QR-kode-phishing mere end fordobledes, og kampagner med CAPTCHA-gating udvikler sig hurtigt. Resultaterne er vigtige for sikkerhedsteams, fordi angribere i stigende grad går efter linkbaseret tyveri af legitimationsoplysninger, mens indsatsen mod Tycoon2FA viser, at koordinerede tiltag kan reducere phishingens effekt.

Security

Microsoft Security-opdateringer til Agent 365

Microsoft har annonceret nye sikkerhedsfunktioner på tværs af Agent 365, Defender for Cloud, GitHub Advanced Security og Microsoft Purview. Opdateringerne fokuserer på at forbedre synligheden i AI-agentaktivitet, styrke beskyttelsen fra kode til runtime og accelerere datasikkerhedsundersøgelser for sikkerheds- og IT-teams.

Security

CISO-risikogennemgange: 8 bedste praksisser

Microsoft har offentliggjort en praktisk ramme, der hjælper CISOs og sikkerhedsledere med at gennemføre mere effektive risikogennemgange i takt med stigende AI-understøttede cybertrusler. Vejledningen fokuserer på otte gennemgangsområder – fra aktiver og applikationer til autentificering, autorisation og netværksisolering – for at hjælpe organisationer med at gå fra reaktiv respons til proaktiv risikoreduktion.

Security

Microsoft Sentinel UEBA udvider AWS-detektion

Microsoft Sentinel UEBA tilføjer nu mere avanceret adfærdsanalyse til AWS CloudTrail-data og giver sikkerhedsteams indbygget kontekst som førstegangsgeografi, usædvanlig ISP, usædvanlige handlinger og unormal mængde af operationer. Opdateringen hjælper forsvarsteams med hurtigere at opdage mistænkelig AWS-aktivitet og reducerer behovet for komplekse KQL-baselines og manuel berigelse.

Security

Microsoft AI-forsvar mod nye AI-trusler

Microsoft siger, at AI accelererer, hvordan sårbarheder findes og udnyttes, hvilket forkorter den tid, forsvarere har til at reagere. Som svar udvider virksomheden AI-drevet sårbarhedsopdagelse, exposure management og Defender-baserede beskyttelser, samtidig med at den varsler en ny multi-model scanningsløsning til kunder i juni 2026.