Copy.Fail (CVE-2026-31431): техника повышения привилегий раскрывает скрытые векторы атак beyond LPE

Исследователь продемонстрировал, что CVE-2026-31431, известная как Copy.Fail, представляет собой не просто классическую уязвимость локального повышения привилегий, а полноценный примитив для внедрения кода через Page Cache с возможностями, выходящими далеко за рамки первоначального раскрытия.

Оригинальный публичный эксплойт модифицирует setuid-бинарь до выполнения execve и гарантированно получает root-доступ. Второй известный PoC работает через подмену идентификатора пользователя на 0000. Оба вектора считаются работающими и подтверждёнными методами локального повышения привилегий. Однако детальный анализ Copy.Fail выявил дополнительные свойства примитива, которые не были задокументированы в изначальном disclosure от исследователя.

Главная опасность заключается в том, что Copy.Fail функционирует как примитив процесс-инъекции через механизм Page Cache, а не как стандартный LPE-эксплойт. Это означает, что техника может применяться для скрытного внедрения кода в уже работающие процессы, обходя стандартные механизмы обнаружения. Дополнительные эффекты, обнаруженные при углублённом исследовании, потенциально расширяют поверхность атаки и могут затрагивать сценарии, не предусмотренные оригинальной публикацией. Для специалистов по безопасности это означает необходимость расширенного мониторинга и обновления правил детекции с учётом полного спектра возможностей Copy.Fail, а не только зафиксированных PoC-векторов.