科技财经时报2026年05月14日 08:15消息,微软警告Linux内核脏碎片漏洞遭实战利用,全球服务器面临零日攻击风险。
5 月 13 日消息,安全研究人员 Hyunwoo Kim 近期披露了一枚高危 Linux 内核漏洞,代号“Dirty Frag”。该漏洞被确认为本地权限提升(LPE)类型,攻击者仅需一个普通用户权限,即可绕过内核安全机制,直接提权至 root 级别——这意味着系统完整性与机密性面临根本性崩塌风险。
值得注意的是,该漏洞已于 4 月 30 日正式提交至 Linux 内核安全团队,遵循标准的 14 天协调披露流程。然而,一名“无关第三方”在补丁尚未发布、厂商仍未完成适配的情况下擅自公开技术细节,严重违反负责任披露原则。这种行为不仅打乱了全球 Linux 发行版厂商的应急节奏,更相当于为攻击者递上了一份现成的“操作手册”。在开源生态高度依赖信任与协作的今天,此类单边泄密行为值得整个安全社区严肃反思与规制。
微软安全博客于近日发布预警称,其威胁情报团队已观测到多起真实攻击活动,黑客正积极利用 Dirty Frag 漏洞实施横向渗透。攻击链清晰且具备高度可复现性:攻击者首先通过外部 SSH 连接建立交互式 Shell,随后上传并执行定制化 ELF 二进制文件,最终调用 su 命令完成提权——整个过程无需用户交互,也无需额外漏洞配合,凸显该漏洞的实战价值极高。
获得 root 权限后,攻击者并未止步于系统控制,而是精准锁定 GLPI(一款广泛使用的 IT 资产与服务管理平台)的 LDAP 身份认证模块,篡改其关键配置文件以维持持久化访问。更值得警惕的是,后续动作呈现典型的“侦察—窃取—擦除”三阶段特征:一方面对 GLPI 数据库及系统日志展开深度探测;另一方面主动清除会话中残留的敏感凭证与操作痕迹,显著提升检测难度。这表明攻击者具备明确目标导向与专业对抗意识,已远超脚本小子级别。
微软特别指出,Dirty Frag 与今年 4 月底曝光的 Copy Fail(CVE-2026-31431)存在底层机制上的同源性——二者均借道 Linux 页缓存(Page Cache)的设计边界实现越权。但 Dirty Frag 的利用面更广、触发条件更宽松、稳定性更强,在实际攻防对抗中成功率更高。这一演进趋势释放出危险信号:内核级漏洞正从“理论可行”加速迈向“批量可用”,而页缓存这类基础子系统,正成为新一代 LPE 漏洞的“温床”。对于运维人员而言,仅靠等待官方补丁已显被动,亟需立即开展内存映射行为监控、su/sudo 异常调用审计等纵深防御动作。