微软详细说明了一个高危 Linux 内核漏洞,该漏洞可能允许本地非特权用户在受影响的系统上获得 root 权限。
该漏洞编号为 CVE-2026-31431,也称为“复制失败”,会影响企业和云环境中使用的多种 Linux 发行版。微软表示,受影响的平台包括 Red Hat、SUSE、Ubuntu、Amazon Linux、Debian、Fedora 和 Arch Linux,具体取决于内核版本和补丁状态。
该漏洞的 CVSS 评分为 7.8。微软表示,该漏洞会影响 2017 年发布的 Linux 内核,直到应用补丁版本为止。
局部缺陷,可能影响云层
CVE-2026-31431 本身无法被远程利用。微软表示,攻击者首先需要以非特权用户的身份执行本地代码,而这种条件可能存在于云、CI/CD 和 Kubernetes 等环境中,因为这些环境中可能运行不受信任的代码。
如果攻击者通过 SSH 获得初始访问权限、利用恶意 CI 作业或被入侵的容器进程,该漏洞的危害性会更大。在这种情况下,即使攻击者拥有有限的访问权限,也可能尝试将权限提升至易受攻击系统的 root 级别。
问题出在 Linux 内核的加密子系统中。微软将其描述为 Linux 用户空间加密货币 API AF_ALG 的 algif_aead 模块中的一个逻辑缺陷。
该漏洞涉及就地加密操作期间不当的内存处理。攻击者通过滥用 AF_ALG 套接字接口和 splice() 系统调用之间的交互,可以对内核页面缓存中可读文件执行受控的四字节写入操作。
微软表示,此漏洞可能会破坏内存中特权二进制文件(例如 /usr/bin/su)的版本,而无需更改磁盘上存储的文件。欧盟计算机应急响应小组 (CERT-EU) 表示,非特权本地用户可以利用此漏洞攻击 setuid 二进制文件,从而获得 root shell 权限。
为什么 Kubernetes 环境会暴露出来
这个问题与 Kubernetes 密切相关,因为容器依赖于宿主机内核。微软表示,成功利用此漏洞可能导致容器逃逸、多租户入侵以及在共享环境中横向移动。
一旦攻击者能够在易受攻击的系统上运行本地代码,该漏洞利用就不需要远程访问了。
微软表示,成功利用该漏洞会赋予攻击者完全的root权限,从而影响机密性和可用性。公开的漏洞利用研究将其描述为确定性漏洞,而微软和欧盟计算机应急响应小组(CERT-EU)则表示,该漏洞涉及页面缓存损坏,而非磁盘文件的修改。
微软目前观察到的主动利用情况有限,主要集中在概念验证测试中。
美国网络安全和基础设施安全局于 5 月 1 日将 CVE-2026-31431 添加到其已知已利用漏洞目录中。CISA 将其列为 Linux 内核在各个领域之间不正确的资源传输漏洞。
云团队的补丁优先级
微软建议各组织识别受影响的 Linux 系统,并在有可用补丁的情况下应用厂商提供的补丁。安全公告和补丁信息可通过国家漏洞数据库 (NVD) 中 CVE-2026-31431 的条目获取。
微软表示,在补丁程序尚未发布的情况下,各组织应考虑采取临时措施,例如禁用受影响的功能、阻止创建 AF_ALG 套接字、应用访问控制或使用网络隔离。
在 Kubernetes 环境中,修复工作需要覆盖节点操作系统,而不仅仅是应用程序容器。微软建议企业修补或更新 Linux 内核软件包,而 AKS 文档则指出,节点操作系统的安全更新与 Kubernetes 版本升级是分开管理的。
该公司还建议客户检查日志,查找攻击迹象。微软表示,在容器环境中,任何容器远程代码执行都应视为主机可能遭到入侵,一旦发现入侵迹象,应立即回收节点。
Microsoft Defender XDR 已添加对与 CVE-2026-31431 相关的活动的检测。Microsoft 已在 Defender Antivirus、Defender for Endpoint、Defender for Cloud 和 Microsoft Defender Vulnerability Management 中列出了相关覆盖范围。
检测内容包括与复制失败相关的 Linux 和 Python 活动的漏洞利用和行为特征。Defender 漏洞管理还可以发现客户环境中可能存在 CVE-2026-31431 漏洞的设备。
