Security

CVE-2026-31431: Linux Root-Eskalation erklärt

3 Min. Lesezeit

Zusammenfassung

Microsoft hat CVE-2026-31431 beschrieben, eine schwerwiegende lokale Linux-Sicherheitslücke zur Rechteausweitung, die auf großen Distributionen und in Cloud-Workloads Root-Zugriff ermöglichen kann. Das Problem ist besonders relevant, weil es Shared-Kernel-Umgebungen wie Container und Kubernetes betrifft und damit das Risiko von Container Escape, lateral movement und einer Host-Kompromittierung erhöht, wenn Systeme nicht schnell gepatcht werden.

Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Einführung

Microsoft hat neue Hinweise zu CVE-2026-31431 veröffentlicht, auch bekannt als Copy Fail, einer schwerwiegenden Linux-Kernel-Sicherheitslücke, durch die ein lokaler, nicht privilegierter Benutzer root-Zugriff erlangen kann. Für IT- und Security-Teams, die Linux in Cloud-, CI/CD- und Kubernetes-Umgebungen betreiben, hat dies hohe Priorität, da ein einzelner erster Zugriff zur Kompromittierung des Hosts führen könnte.

Was ist neu

CVE-2026-31431 ist eine Schwachstelle zur lokalen Rechteausweitung im kryptografischen Subsystem des Linux-Kernels, genauer im algif_aead-Modul der AF_ALG userspace crypto API.

Wichtige Details von Microsoft:

  • Betrifft viele große Linux-Distributionen, darunter Ubuntu, Red Hat, SUSE, Amazon Linux, Debian, Fedora und Arch
  • Betrifft Kernel-Versionen, die seit 2017 veröffentlicht wurden, bis gepatchte Versionen installiert sind
  • Hat einen CVSS-Score von 7.8 (High)
  • Erfordert nur lokale Codeausführung als nicht privilegierter Benutzer
  • Kann genutzt werden, um den Page Cache für lesbare Dateien zu manipulieren, darunter setuid binaries
  • Kann container escape, multi-tenant compromise und lateral movement ermöglichen

Microsoft weist darauf hin, dass eine breite Ausnutzung in freier Wildbahn bislang noch begrenzt ist, jedoch bereits ein funktionierender Proof of Concept öffentlich verfügbar ist und frühe Testaktivitäten schon beobachtet wurden. Die Schwachstelle wurde außerdem in den CISA Known Exploited Vulnerabilities catalog aufgenommen, was die Dringlichkeit für Verteidiger erhöht.

Warum das für Administratoren wichtig ist

Diese Schwachstelle ist besonders relevant in Umgebungen, in denen nicht vertrauenswürdiger Code ausgeführt werden kann:

  • Kubernetes-Cluster
  • Gemeinsam genutzte Linux-Hosts
  • CI/CD-Runner
  • Containerisierte Workloads
  • Multi-Tenant-Cloud-Infrastruktur

Da Container den Kernel des Hosts gemeinsam nutzen, könnte eine Ausnutzung aus einem einzelnen Container heraus potenziell den gesamten Node betreffen. Das macht jede Container-RCE oder Shell mit niedrigen Rechten deutlich schwerwiegender als üblich.

Empfohlene Maßnahmen

Security- und Infrastruktur-Teams sollten die folgenden Schritte priorisieren:

  1. Betroffene Linux-Systeme inventarisieren – über Server, Cloud-Workloads, Container und Kubernetes-Nodes hinweg.
  2. Hersteller-Patches sofort einspielen, sobald sie verfügbar sind.
  3. Wenn noch keine Patches verfügbar sind, vorübergehende Gegenmaßnahmen einsetzen, zum Beispiel:
    • AF_ALG socket creation blockieren oder deaktivieren
    • Lokale Zugriffskontrollen verschärfen
    • Wo sinnvoll Netzwerkisolation umsetzen
  4. Logs und Detection-Telemetrie prüfen auf Anzeichen von Ausnutzung oder verdächtige Aktivitäten zur lokalen Rechteausweitung.
  5. Jede Container-Kompromittierung als potenzielle Host-Kompromittierung behandeln und nach Angriffsindikatoren ein schnelles Node-Recycling in Betracht ziehen.

Nächste Schritte

Organisationen, die Microsoft Defender XDR einsetzen, sollten die verfügbaren Detections und Hunting-Hinweise von Microsoft prüfen. Angesichts der Breite der Exponierung und der Verfügbarkeit von Exploit-Code handelt es sich um eine Schwachstelle, die Linux- und Cloud-Administratoren sofort im Rahmen von Notfall-Patching und Incident-Readiness-Workflows angehen sollten.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Microsoft Defender Security Research Team lesen
Linux securityCVE-2026-31431Kubernetescloud securityprivilege escalation

Verwandte Beiträge

Security

Microsoft Agent 365 GA: Sicherheit und AI-Kontrollen

Microsoft Agent 365 ist jetzt allgemein für kommerzielle Kunden verfügbar und bietet IT- und Sicherheitsteams eine einheitliche Steuerungsebene, um AI-Agents in Microsoft 365, auf Endpunkten und in Cloud-Umgebungen zu überwachen, zu verwalten und abzusichern. Neue Preview-Funktionen erweitern die Transparenz zudem auf Shadow AI, lokale Windows-Agents, Multicloud-Agent-Plattformen und richtlinienbasierte Kontrollen über Defender und Intune.

Security

E-Mail-Bedrohungslage Q1 2026: Microsoft-Einblicke

Microsoft meldet 8,3 Milliarden erkannte Phishing-E-Mails im Q1 2026. QR-Code-Phishing hat sich mehr als verdoppelt, und durch CAPTCHA geschützte Kampagnen entwickeln sich schnell weiter. Die Erkenntnisse sind für Sicherheitsteams relevant, weil Angreifer verstärkt auf linkbasierten Diebstahl von Anmeldedaten setzen, während Maßnahmen gegen Tycoon2FA zeigen, dass koordinierte Aktionen die Auswirkungen von Phishing verringern können.

Security

{{Microsoft Security Updates für AI und Defender}}

Microsoft hat neue Sicherheitsfunktionen für Agent 365, Defender for Cloud, GitHub Advanced Security und Microsoft Purview angekündigt. Die Updates konzentrieren sich auf bessere Transparenz bei AI-Agent-Aktivitäten, einen stärkeren Schutz vom Code bis zur Runtime sowie schnellere Untersuchungen zur Datensicherheit für Security- und IT-Teams.

Security

CISO-Risikobewertungen: 8 Microsoft Best Practices

Microsoft hat einen praxisnahen Rahmen für CISOs und Sicherheitsverantwortliche veröffentlicht, um Risikobewertungen angesichts zunehmender KI-gestützter Cyberbedrohungen effektiver durchzuführen. Die Leitlinien konzentrieren sich auf acht Prüfbereiche – von Assets und Applications bis hin zu Authentication, Authorization und Netzwerkisolierung –, damit Unternehmen von reaktiver Reaktion zu proaktiver Risikoreduzierung wechseln können.

Security

Microsoft Sentinel UEBA: AWS-Erkennung erweitert

Microsoft Sentinel UEBA bietet jetzt umfassendere Verhaltensanalysen für AWS CloudTrail-Daten und liefert Sicherheitsteams integrierten Kontext wie erstmalige Geografie, ungewöhnlichen ISP, atypische Aktionen und abnormes Operationsvolumen. Das Update hilft Abwehrteams, verdächtige AWS-Aktivitäten schneller zu erkennen, und reduziert den Bedarf an komplexen KQL-Baselines und manueller Anreicherung.

Security

Microsoft KI-Abwehr gegen neue KI-Bedrohungen

Microsoft sagt, dass KI die Entdeckung und Ausnutzung von Schwachstellen beschleunigt und dadurch die Reaktionszeit für Verteidiger verkürzt. Als Reaktion baut das Unternehmen die KI-gestützte Schwachstellenerkennung, das Exposure Management und Defender-basierte Schutzfunktionen aus und stellt zudem eine neue Multi-Model-Scanning-Lösung für Kunden in einer Vorschau ab Juni 2026 in Aussicht.