Security

CVE-2026-31431: minaccia escalation root Linux

3 min di lettura

Riepilogo

Microsoft ha fornito dettagli su CVE-2026-31431, una vulnerabilità Linux ad alta gravità di local privilege escalation che può concedere accesso root sulle principali distribuzioni e sui carichi di lavoro ospitati nel cloud. Il problema è rilevante perché colpisce ambienti con kernel condiviso come container e Kubernetes, aumentando il rischio di container escape, movimento laterale e compromissione dell’host se i sistemi non vengono corretti rapidamente.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione

Microsoft ha pubblicato nuove linee guida su CVE-2026-31431, chiamata anche Copy Fail, una vulnerabilità del kernel Linux ad alta gravità che può consentire a un utente locale non privilegiato di ottenere accesso root. Per i team IT e di sicurezza che eseguono Linux in ambienti cloud, CI/CD e Kubernetes, si tratta di una priorità perché un singolo punto d’appoggio potrebbe portare alla compromissione dell’host.

Cosa c’è di nuovo

CVE-2026-31431 è una vulnerabilità di local privilege escalation nel sottosistema crittografico del kernel Linux, in particolare nel modulo algif_aead della AF_ALG userspace crypto API.

Dettagli chiave da Microsoft:

  • Colpisce molte delle principali distribuzioni Linux, tra cui Ubuntu, Red Hat, SUSE, Amazon Linux, Debian, Fedora e Arch
  • Interessa i kernel rilasciati dal 2017 in poi fino all’installazione delle versioni corrette
  • Ha un punteggio CVSS di 7.8 (High)
  • Richiede solo esecuzione di codice locale come utente non privilegiato
  • Può essere usata per corrompere la page cache per file leggibili, inclusi i binari setuid
  • Può consentire container escape, compromissione multi-tenant e movimento laterale

Microsoft osserva che, sebbene lo sfruttamento diffuso in the wild sia ancora limitato, è già disponibile pubblicamente un proof of concept funzionante e sono state osservate prime attività di test. La vulnerabilità è stata inoltre aggiunta al catalogo CISA Known Exploited Vulnerabilities, aumentando l’urgenza per i difensori.

Perché è importante per gli amministratori

Questa vulnerabilità è particolarmente importante negli ambienti in cui può essere eseguito codice non attendibile:

  • Cluster Kubernetes
  • Host Linux condivisi
  • Runner CI/CD
  • Workload containerizzati
  • Infrastrutture cloud multi-tenant

Poiché i container condividono il kernel dell’host, lo sfruttamento dall’interno di un container potrebbe potenzialmente avere impatto sull’intero nodo. Questo rende qualsiasi RCE in un container o shell a basso privilegio molto più grave del normale.

Azioni consigliate

I team di sicurezza e infrastruttura dovrebbero dare priorità ai seguenti passaggi:

  1. Inventariare i sistemi Linux interessati tra server, workload cloud, container e nodi Kubernetes.
  2. Applicare immediatamente le patch del fornitore dove disponibili.
  3. Se le patch non sono ancora disponibili, usare mitigazioni temporanee come:
    • Bloccare o disabilitare la creazione di socket AF_ALG
    • Rafforzare i controlli di accesso locale
    • Applicare isolamento di rete dove appropriato
  4. Esaminare log e telemetria di rilevamento per individuare segni di sfruttamento o attività sospette di local privilege escalation.
  5. Trattare qualsiasi compromissione di container come una potenziale compromissione dell’host e considerare il riciclo rapido dei nodi dopo indicatori di attacco.

Prossimi passi

Le organizzazioni che usano Microsoft Defender XDR dovrebbero esaminare i rilevamenti disponibili e le indicazioni di hunting fornite da Microsoft. Data l’ampiezza dell’esposizione e la disponibilità di codice di exploit, questa è una vulnerabilità che gli amministratori Linux e cloud dovrebbero affrontare immediatamente come parte dei flussi di patching d’emergenza e preparazione agli incidenti.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Defender Security Research Team
Linux securityCVE-2026-31431Kubernetescloud securityprivilege escalation

Articoli correlati

Security

Microsoft Agent 365 GA: sicurezza e controlli AI

Microsoft Agent 365 è ora generalmente disponibile per i clienti commerciali, offrendo ai team IT e di sicurezza un piano di controllo unificato per osservare, governare e proteggere gli agenti AI in Microsoft 365, sugli endpoint e negli ambienti cloud. Nuove funzionalità in anteprima estendono inoltre la visibilità a shadow AI, agenti locali Windows, piattaforme di agenti multicloud e controlli basati su criteri tramite Defender e Intune.

Security

Panorama minacce email Q1 2026: insights Microsoft

Microsoft segnala 8,3 miliardi di email di phishing rilevate nel Q1 2026, con il phishing tramite QR code più che raddoppiato e campagne protette da CAPTCHA in rapida evoluzione. I dati sono rilevanti per i team di sicurezza perché gli attaccanti si stanno spostando verso il furto di credenziali basato su link, mentre le attività di disruption contro Tycoon2FA dimostrano che un’azione coordinata può ridurre l’impatto del phishing.

Security

Aggiornamenti Microsoft Security per Agent 365

Microsoft ha annunciato nuove funzionalità di sicurezza per Agent 365, Defender for Cloud, GitHub Advanced Security e Microsoft Purview. Gli aggiornamenti puntano a migliorare la visibilità sull’attività degli agenti AI, rafforzare la protezione dal codice al runtime e accelerare le indagini sulla sicurezza dei dati per i team IT e di sicurezza.

Security

Revisioni del rischio CISO: 8 best practice Microsoft

Microsoft ha pubblicato un framework pratico per aiutare CISO e responsabili della sicurezza a condurre revisioni del rischio più efficaci in un contesto di minacce informatiche sempre più alimentate dall’AI. Le linee guida si concentrano su otto aree di revisione — da asset e applicazioni fino ad autenticazione, autorizzazione e isolamento di rete — per aiutare le organizzazioni a passare da una risposta reattiva a una riduzione proattiva del rischio.

Security

Microsoft Sentinel UEBA amplia il rilevamento AWS

Microsoft Sentinel UEBA aggiunge ora analisi comportamentali più ricche per i dati AWS CloudTrail, offrendo ai team di sicurezza contesto integrato come geografia alla prima occorrenza, ISP non comune, azioni insolite e volume operativo anomalo. L’aggiornamento aiuta i difensori a rilevare più rapidamente attività AWS sospette e riduce la necessità di baseline KQL complesse e arricchimento manuale.

Security

Difesa Microsoft con AI contro nuove minacce AI

Microsoft afferma che l’AI sta accelerando il modo in cui le vulnerabilità vengono individuate e sfruttate, riducendo il tempo a disposizione dei difensori per reagire. In risposta, l’azienda sta ampliando il rilevamento delle vulnerabilità guidato dall’AI, la gestione dell’esposizione e le protezioni basate su Defender, oltre ad anticipare una nuova soluzione di scansione multi-modello per i clienti a giugno 2026.