SOC Prime Bias: Crítico

11 May 2026 17:40
newspaper icon Blog de Seguridad de Microsoft

La vulnerabilidad Dirty Frag en Linux aumenta el riesgo después del compromiso

Author Photo
Ruslan Mikhalov Jefe de Investigación de Amenazas en SOC Prime linkedin icon Seguir
La vulnerabilidad Dirty Frag en Linux aumenta el riesgo después del compromiso
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Dirty Frag se refiere a fallas de escalamiento de privilegios locales en Linux que se rastrean como CVE-2026-43284 and CVE-2026-43500 que permiten a un usuario con pocos privilegios obtener acceso root abusando de los componentes de manejo de red y fragmentación de memoria del kernel, incluyendo esp4, esp6, y rxrpc. Se ha observado el uso del exploit en ataques reales, donde los adversarios primero obtienen un punto de apoyo inicial a través de acceso SSH, web shells, escapes de contenedores o cuentas de servicio comprometidas, y luego activan la vulnerabilidad con un binario ELF que invoca el comando su . Una vez obtenidos los privilegios de root, los atacantes pueden deshabilitar los controles de seguridad, alterar los registros, moverse lateralmente y establecer persistencia a largo plazo. El informe describe una campaña activa pero limitada que utiliza esta técnica.

Investigación

Los investigadores de Microsoft Defender observaron una cadena de intrusión paso a paso en la que un actor externo primero obtuvo acceso SSH, abrió un shell interactivo y preparó un binario ELF llamado ./update. Ese binario invocó inmediatamente su para escalar privilegios, después de lo cual el atacante modificó un archivo de autenticación LDAP de GLPI, enumeró directorios de GLPI, eliminó y leyó archivos de sesión PHP, y exfiltró datos de sesión. La actividad se alineó con alertas de Microsoft Defender relacionadas con la ejecución sospechosa de SUID y SGID y una posible explotación de Dirty Frag. La investigación sigue en curso mientras los investigadores continúan revisando nueva telemetría.

Mitigación

Las actualizaciones de seguridad para CVE-2026-43284 fueron lanzadas el 8 de mayo de 2026, mientras que una solución para CVE-2026-43500 aún no estaba disponible al momento del informe. Las mitigaciones recomendadas incluyen deshabilitar los módulos del kernel vulnerables rxrpc, esp4, y esp6 a través de modprobe configuración, reducir el acceso innecesario a shells locales, fortalecer cargas de trabajo contenedorizadas y limpiar cachés de página después de intentos de explotación sospechosos. Las organizaciones también deberían priorizar el despliegue de parches del kernel y verificar la integridad de archivos críticos tras cualquier sospecha de compromiso.

Respuesta

Los defensores deberían detectar el uso inusual del comando su , la carga de los módulos esp4, esp6, o rxrpc , y la ejecución de binarios ELF desconocidos en contextos privilegiados. Aplicar las últimas actualizaciones del kernel de manera oportuna es crítico. Los controles adicionales deberían incluir la aplicación del principio de menor privilegio para cuentas locales, una gestión más estricta de claves SSH y la monitorización de integridad de archivos para archivos sensibles como las configuraciones de autenticación LDAP de GLPI. Si se sospecha una explotación, los equipos deberían limpiar cachés, descargar los módulos afectados y realizar un análisis forense de tanto los artefactos de memoria como de sistema de archivos.

"graph TB %% Class Definitions Section classDef action fill:#99ccff %% Blue for action nodes classDef builtin fill:#cccccc %% Grey for tools, malware, vulnerabilities, files %% Node Definitions initial_access["<b>Acción</b> – <b>T1078 Cuentas Válidas</b><br/><b>Descripción</b>: Usar credenciales SSH comprometidas para obtener un shell interactivo en el host Linux."] class initial_access action execution_unix_shell["<b>Acción</b> – <b>T1059.004 Shell Unix</b><br/><b>Descripción</b>: Ejecutar un binario ELF malicioso (./update) a través del shell Unix."] class execution_unix_shell action priv_esc_exploit["<b>Acción</b> – <b>T1068 Explotación para Escalamiento de Privilegios</b><br/><b>Descripción</b>: Explotar la vulnerabilidad del kernel Dirtyu202fFrag (CVEu20112026u201143284 / CVEu20112026u201143500) para obtener privilegios de root."] class priv_esc_exploit action credential_harvest["<b>Acción</b> – <b>T1552.001 Credenciales En Archivos</b><br/><b>Descripción</b>: Modificar el archivo de autenticación LDAP de GLPI para recolectar credenciales almacenadas."] class credential_harvest action defense_evasion["<b>Acción</b> – <b>T1070.004 Eliminación de Archivos</b><br/><b>Descripción</b>: Eliminar archivos de sesión PHP para borrar evidencias y interrumpir sesiones activas."] class defense_evasion action tool_ssh["<b>Herramienta</b> – <b>Nombre</b>: SSH<br/><b>Descripción</b>: Protocolo de inicio de sesión remoto utilizado con credenciales robadas."] class tool_ssh builtin malware_update["<b>Malware</b> – <b>Nombre</b>: update (binario ELF)<br/><b>Descripción</b>: Ejecutable malicioso utilizado para desencadenar escalamiento de privilegios."] class malware_update builtin vuln_dirtyfrag["<b>Vulnerabilidad</b> – <b>Nombre</b>: Dirtyu202fFrag (CVEu20112026u201143284 / CVEu20112026u201143500)<br/><b>Descripción</b>: Error de corrupción de memoria del kernel que permite escalamiento de privilegios locales."] class vuln_dirtyfrag builtin file_glpi["<b>Archivo</b> – <b>Nombre</b>: Configuración de autenticación LDAP de GLPI<br/><b>Ruta</b>: /etc/glpi/ldap.conf"] class file_glpi builtin file_sessions["<b>Archivo</b> – <b>Nombre</b>: Archivos de sesión PHP<br/><b>Ubicación</b>: /var/lib/php/sessions/"] class file_sessions builtin %% Connections Showing Attack Flow initial_access –>|utiliza| tool_ssh tool_ssh –>|proporciona shell para| execution_unix_shell execution_unix_shell –>|ejecuta| malware_update malware_update –>|explota| vuln_dirtyfrag vuln_dirtyfrag –>|habilita| priv_esc_exploit priv_esc_exploit –>|modifica| file_glpi file_glpi –>|habilita| credential_harvest credential_harvest –>|lleva a| defense_evasion defense_evasion –>|elimina| file_sessions "

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: La Comprobación de Telemetría y Línea Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica adversaria (T1548) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntan a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa de Ataque y Comandos:

    1. Preparación – Soltar el ELF malicioso:
      El atacante, operando con una cuenta de bajos privilegios, crea un binario ELF manipulado llamado update que explota la vulnerabilidad Dirty Frag. En el laboratorio simulamos esto con un simple ELF de “hola mundo”.

      cat <<'EOF' > update.c
#include <stdio.h>
int main() { printf("Malicious update executedn"); return 0; }
EOF
gcc -o update update.c
chmod +x update

    2. Ejecución del binario vulnerable:
      El atacante ejecuta el ELF desde el directorio actual, generando un evento execve para ./update.

      ./update

    3. Escalamiento de privilegios – invocar su después del ELF:
      Inmediatamente después de que finaliza el ELF malicioso, el atacante ejecuta su para obtener un shell root, dependiendo de la mala configuración del sistema que permite la escalada sin contraseña (típico en entornos de laboratorio vulnerables).

      su -c "id"

      La línea de comando su -c "id" contiene el literal ./update como parte de la misma sesión (la regla de detección solo comprueba proc.cmdline|contains: './update' dentro del mismo su proceso). Para satisfacer la regla, incorporamos la ruta en la misma línea de comando: su Esto concatena la ejecución del ELF malicioso y la solicitud de escalada de privilegios en una sola invocación, produciendo la telemetría exacta que espera la regla.

      Esto concatena la ejecución del ELF malicioso y la solicitud de escalada de privilegios en una sola invocación, produciendo la telemetría exacta que espera la regla.

      Script de Prueba de Regresión: su #!/usr/bin/env bash # ———————————————————— # Simula la cadena de escalamiento de privilegios Dirty Frag / Copy Fail # ———————————————————— set -euo pipefail # 1. Construir un binario ELF dummy llamado ‘update’ cat <<‘EOF’ > update.c #include <stdio.h> int main() { printf(«Simulated malicious updaten»); return 0; } EOF gcc -o update update.c chmod +x update # 2. Ejecutar el ELF (genera un evento execve normal) echo «[*] Ejecutando ELF malicioso ./update» ./update # 3. Activar la condición de detección: su con cmdline que contenga ‘./update’ echo «[*] Invocando su para elevar privilegios haciendo referencia a ‘./update'» # Nota: En muchos entornos de laboratorio ‘su’ puede estar configurado sin contraseña. su -c «./update && id» # 4. Limpieza (manejado por separado)

  • Comandos de Limpieza:

    #!/usr/bin/env bash
# ------------------------------------------------------------
# Limpiar artefactos creados por el script de simulación
# ------------------------------------------------------------

set -euo pipefail

echo "[*] Eliminando binario ELF simulado y archivo fuente"
rm -f update update.c

echo "[*] Limpieza completa"

  • Cleanup Commands:

    #!/usr/bin/env bash
# ------------------------------------------------------------
# Cleanup artifacts created by the simulation script
# ------------------------------------------------------------

set -euo pipefail

echo "[*] Removing simulated ELF binary and source file"
rm -f update update.c

echo "[*] Cleanup complete"

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis