Dirty Frag повышает стоимость закрепления в Linux
Microsoft сообщает, что недавно раскрытая проблема local privilege escalation в Linux, отслеживаемая как Dirty Frag, может перевести атакующего от непривилегированного пользователя к root через уязвимые kernel networking и memory-fragment handling paths. Компания заявляет, что активность активно исследуется, а публичные отчеты и proof-of-concept показывают, что exploit рассчитан на более надежное повышение привилегий, чем старые Linux LPE-методы, сильно завязанные на race conditions.
Что говорит Microsoft#
Dirty Frag не описывается как bug initial access. Это post-compromise проблема. Ценность для атакующего появляется уже после того, как он каким-то образом проник в систему.
Microsoft связывает проблему с уязвимыми компонентами kernel networking и memory-fragment handling, включая esp4, esp6 в рамках CVE-2026-43284, а также rxrpc в рамках CVE-2026-43500. В разборе говорится, что exploit использует поведение Linux kernel при работе с networking и memory fragments, и что он, по-видимому, спроектирован так, чтобы быть более надежным, чем многие старые local privilege escalation techniques.
Компания также отмечает, что Dirty Frag может использоваться после нескольких распространенных путей проникновения:
- SSH access с слабыми или украденными credentials
- запуск web shell на exposed applications
- container escape в host
- compromise учетной записи с низкими привилегиями
- compromise после phishing или remote-access compromise
Это важно. Ошибка становится опасной, когда у атакующего уже есть любой local execution path. Иными словами, exploit не должен открывать дверь. Ему нужно лишь расширить ее.
Microsoft также сообщает, что затронутые среды могут включать Ubuntu, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSE и OpenShift deployments. Компания предупреждает, что связанные kernel modules могут уже быть включены в enterprise-средах для поддержки IPsec, VPN или других networking workloads.
Почему это важно#
Ошибки Linux privilege escalation достаточно распространены, и защитники иногда воспринимают их как фоновой шум. Обычно это ошибка. Когда в игру вступает root, у атакующего быстро меняются возможности.
В заметке Microsoft перечисляется обычная цепочка. Root может отключать security tools, получать доступ к чувствительным credentials, подменять logs, перемещаться lateral movement и строить persistence. Вот практическая цена этой уязвимости. Она не просто расширяет доступ. Она расширяет контроль.
Dirty Frag примечательна еще и по другой причине: reliability. Microsoft говорит, что exploit, похоже, построен вокруг нескольких kernel attack paths и не так сильно зависит от узких timing windows, как некоторые старые LPE. Это важно, потому что нестабильные exploits часто ломаются в реальных условиях. Более надежный путь проще operationalize и проще повторять across fleets.
Компания сравнивает поведение с CopyFail (CVE-2026-31431), говоря, что Dirty Frag тоже пытается манипулировать поведением Linux page cache, чтобы добиться privilege escalation, но при этом использует дополнительные attack paths. Это не значит, что две уязвимости идентичны. Но это показывает схожий общий паттерн: атакующие находят способы превращать kernel edge cases в надежный root access.
Для защитников вывод прост. Если у противника уже есть какой-либо foothold на Linux-host, порог для полного compromise ниже, чем кажется. Это особенно важно в средах с exposed admin surfaces, containerized workloads или service accounts, у которых локального доступа больше, чем следовало бы.
Что организации могут сделать сейчас#
Microsoft заявляет, что comprehensive remediation guidance пока еще формируется. Это значит, что организациям стоит сосредоточиться на временном снижении риска уже сейчас, а затем быстро установить patches, когда появятся advisories от вендоров.
Практические шаги, указанные в advisory, включают:
- отключение неиспользуемых
rxrpckernel modules, если это возможно без ущерба для работы - оценку того, можно ли безопасно отключить
esp4,esp6и связанныеxfrm/IPsec capabilities на время - ограничение ненужного local shell access
- hardening containerized workloads
- усиление monitoring на признаки необычного privilege escalation
- приоритизацию kernel patch deployment после выхода fixes от вендоров
Здесь есть важная оговорка: некоторые mitigations могут нарушить работу окружений, зависящих от VPN или IPsec. Microsoft прямо предупреждает, что отключение modules нужно оценивать очень внимательно до внедрения. Это правильный подход. Плохая mitigation может создать отдельный outage.
В advisory также есть предупреждение об integrity после mitigation, которое легко пропустить. Отключение уязвимого пути не отменяет автоматически уже нанесенный ущерб. Если exploitation произошла до mitigation, вредоносные изменения могут все еще находиться в memory или в cached file content.
Microsoft советует организациям проверить integrity критически важных файлов и оценить, уместна ли в их среде очистка cache. В качестве примера приводится команда echo 3 | sudo tee /proc/sys/vm/drop_caches, но отмечается, что очистка cache может увеличить d…