## Copy.Fail (CVE-2026-31431): техника повышения привилегий раскрывает скрытые векторы атак beyond LPE
Исследователь продемонстрировал, что CVE-2026-31431, известная как Copy.Fail, представляет собой не просто классическую уязвимость локального повышения привилегий, а полноценный примитив для внедрения кода через Page Cache с возможностями, выходящими далеко за рамки первоначального раскрытия.

Оригинальный публичный эксплойт модифицирует setuid-бинарь до выполнения execve и гарантированно получает root-доступ. Второй известный PoC работает через подмену идентификатора пользователя на 0000. Оба вектора считаются работающими и подтверждёнными методами локального повышения привилегий. Однако детальный анализ Copy.Fail выявил дополнительные свойства примитива, которые не были задокументированы в изначальном disclosure от исследователя.

Главная опасность заключается в том, что Copy.Fail функционирует как примитив процесс-инъекции через механизм Page Cache, а не как стандартный LPE-эксплойт. Это означает, что техника может применяться для скрытного внедрения кода в уже работающие процессы, обходя стандартные механизмы обнаружения. Дополнительные эффекты, обнаруженные при углублённом исследовании, потенциально расширяют поверхность атаки и могут затрагивать сценарии, не предусмотренные оригинальной публикацией. Для специалистов по безопасности это означает необходимость расширенного мониторинга и обновления правил детекции с учётом полного спектра возможностей Copy.Fail, а не только зафиксированных PoC-векторов.
---
- **Source**: Habr
- **Sector**: The Lab
- **Tags**: CVE-2026-31431, Copy.Fail, LPE, process injection, Page Cache
- **Credibility**: unverified
- **Published**: 2026-05-01 11:24:09
- **ID**: 78830
- **URL**: https://whisperx.ai/en/intel/78830