Security

CVE-2026-31431 en Linux: amenaza de root

3 min de lectura

Resumen

Microsoft ha detallado CVE-2026-31431, una falla de escalada local de privilegios en Linux de alta gravedad que puede otorgar acceso root en las principales distribuciones y cargas de trabajo alojadas en la nube. El problema es importante porque afecta a entornos de kernel compartido, como contenedores y Kubernetes, lo que aumenta el riesgo de escape de contenedores, movimiento lateral y compromiso del host si los sistemas no se corrigen rápidamente.

¿Necesita ayuda con Security?Hablar con un experto

Introducción

Microsoft ha publicado nuevas directrices sobre CVE-2026-31431, también llamada Copy Fail, una vulnerabilidad del kernel de Linux de alta gravedad que puede permitir que un usuario local sin privilegios obtenga acceso root. Para los equipos de TI y seguridad que ejecutan Linux en entornos de nube, CI/CD y Kubernetes, este es un problema prioritario porque un solo punto de apoyo podría derivar en el compromiso del host.

Qué hay de nuevo

CVE-2026-31431 es una falla de escalada local de privilegios en el subsistema criptográfico del kernel de Linux, específicamente en el módulo algif_aead de la API criptográfica de espacio de usuario AF_ALG.

Detalles clave de Microsoft:

  • Afecta a muchas distribuciones principales de Linux, incluidas Ubuntu, Red Hat, SUSE, Amazon Linux, Debian, Fedora y Arch
  • Impacta a kernels publicados desde 2017 en adelante hasta que se instalen versiones corregidas
  • Tiene una puntuación CVSS de 7.8 (Alta)
  • Solo requiere ejecución de código local como usuario sin privilegios
  • Puede utilizarse para corromper la caché de páginas de archivos legibles, incluidos los binarios setuid
  • Puede habilitar escape de contenedores, compromiso multiinquilino y movimiento lateral

Microsoft señala que, aunque la explotación generalizada activa sigue siendo limitada, ya existe una prueba de concepto funcional disponible públicamente y se ha observado actividad temprana de pruebas. La vulnerabilidad también se ha añadido al catálogo de CISA Known Exploited Vulnerabilities, lo que aumenta la urgencia para los defensores.

Por qué importa a los administradores

Esta falla es especialmente importante en entornos donde puede ejecutarse código no confiable:

  • Clústeres de Kubernetes
  • Hosts Linux compartidos
  • Runners de CI/CD
  • Cargas de trabajo en contenedores
  • Infraestructura cloud multiinquilino

Como los contenedores comparten el kernel del host, la explotación desde dentro de un contenedor podría afectar potencialmente a todo el nodo. Eso hace que cualquier RCE en contenedores o shell de bajos privilegios sea mucho más grave de lo habitual.

Acciones recomendadas

Los equipos de seguridad e infraestructura deben priorizar los siguientes pasos:

  1. Inventariar los sistemas Linux afectados en servidores, cargas de trabajo cloud, contenedores y nodos de Kubernetes.
  2. Aplicar inmediatamente los parches del proveedor donde estén disponibles.
  3. Si los parches aún no están disponibles, usar mitigaciones temporales como:
    • Bloquear o deshabilitar la creación de sockets AF_ALG
    • Reforzar los controles de acceso local
    • Aplicar aislamiento de red cuando corresponda
  4. Revisar los registros y la telemetría de detección para identificar señales de explotación o actividad sospechosa de escalada local de privilegios.
  5. Tratar cualquier compromiso de contenedor como un posible compromiso del host y considerar el reciclado rápido de nodos tras indicadores de ataque.

Próximos pasos

Las organizaciones que usan Microsoft Defender XDR deben revisar las detecciones disponibles y las directrices de hunting publicadas por Microsoft. Dada la amplitud de la exposición y la disponibilidad de código de explotación, esta es una vulnerabilidad que los administradores de Linux y cloud deben abordar de inmediato como parte de sus flujos de parcheo de emergencia y preparación ante incidentes.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Defender Security Research Team
Linux securityCVE-2026-31431Kubernetescloud securityprivilege escalation

Artículos relacionados

Security

Microsoft Agent 365 GA: seguridad y control AI

Microsoft Agent 365 ya está disponible con carácter general para clientes comerciales, ofreciendo a los equipos de TI y seguridad un plano de control unificado para observar, gobernar y proteger agentes de AI en Microsoft 365, endpoints y entornos en la nube. Las nuevas capacidades en preview también amplían la visibilidad a shadow AI, agentes locales de Windows, plataformas de agentes multicloud y controles basados en directivas mediante Defender e Intune.

Security

Panorama de amenazas por email Q1 2026: claves

Microsoft informa que detectó 8,3 mil millones de correos de phishing en el Q1 2026, con más del doble de phishing mediante códigos QR y campañas con CAPTCHA en rápida evolución. Los hallazgos importan a los equipos de seguridad porque los atacantes están cambiando hacia el robo de credenciales basado en enlaces, mientras que las acciones contra Tycoon2FA demuestran que la respuesta coordinada puede reducir el impacto del phishing.

Security

Actualizaciones de Microsoft Security para Agent 365

Microsoft ha anunciado nuevas capacidades de seguridad en Agent 365, Defender for Cloud, GitHub Advanced Security y Microsoft Purview. Las actualizaciones se centran en mejorar la visibilidad de la actividad de los agentes de AI, reforzar la protección desde el código hasta el runtime y acelerar las investigaciones de seguridad de datos para los equipos de seguridad y TI.

Security

Revisiones de riesgo CISO: 8 prácticas de Microsoft

Microsoft ha publicado un marco práctico para que los CISO y los líderes de seguridad realicen revisiones de riesgo más eficaces en un contexto de ciberamenazas impulsadas por AI cada vez mayores. La guía se centra en ocho áreas de revisión, desde activos y aplicaciones hasta autenticación, autorización y aislamiento de red, para ayudar a las organizaciones a pasar de una respuesta reactiva a una reducción proactiva del riesgo.

Security

{{Microsoft Sentinel UEBA amplía detección en AWS}}

{{Microsoft Sentinel UEBA ahora agrega análisis de comportamiento más completos para datos de AWS CloudTrail, lo que ofrece a los equipos de seguridad contexto integrado como primera geografía observada, ISP poco común, acciones inusuales y volumen anómalo de operaciones. La actualización ayuda a los defensores a detectar actividad sospechosa en AWS más rápido y reduce la necesidad de líneas base KQL complejas y enriquecimiento manual.}}

Security

Defensa con IA de Microsoft ante amenazas emergentes

Microsoft afirma que la IA está acelerando la forma en que se detectan y explotan las vulnerabilidades, reduciendo el tiempo de respuesta de los defensores. En respuesta, la compañía está ampliando el descubrimiento de vulnerabilidades impulsado por IA, la gestión de exposición y las protecciones basadas en Defender, además de adelantar una nueva solución de escaneo multimodelo para clientes en junio de 2026.