微軟警告Copy Fail恐被用於攻擊雲端環境

微軟指出，根據他們的觀察，目前的Copy Fail漏洞利用主要是進行概念驗證（PoC）測試，大多並非實際攻擊行動，但由於美國網路安全暨基礎設施安全局（CISA）已列入已遭利用的漏洞名冊（KEV），且漏洞的影響範圍極為廣泛，該公司研判，幾天後就會有駭客加入利用的行列。

攻擊者利用Copy Fail存在前提，那就是事先取得非特權使用者的本機存取權限，從而利用此位於Linux核心加密子系統的弱點，對於任何能夠讀取的檔案，破壞其快取資料，其中包括setuid的二進位檔案。攻擊者可藉此導致程式碼執行的過程具備root權限，形同以未經授權的方式將自己升級為root。由於成功利用漏洞能完整將權限提升為root，對於機密性、完整性、可用性產生高度影響，在雲端環境裡，該漏洞有可能被用來突破容器、入侵多個租戶，並在共用環境裡橫向移動，再加上該漏洞只會竄改記憶體內容，且具備跨平臺的通用性，使得Copy Fail在雲端、CI/CD管線，以及Kubernetes環境格外危險。

雖然利用漏洞的過程無須使用者互動，但微軟認為此漏洞不會被單獨利用，攻擊者可能會與初始存取管道串連，例如：SSH存取、惡意CI工作執行，或是將容器當作滲透的據點。只要能取得本機使用者身分利用漏洞，就能在含有Copy Fail的Linux核心與加密模組執行程式碼。值得留意的是，一旦攻擊者成功利用漏洞竄改可讀取的二進位檔案，該檔案就會取得root權限，從而破壞系統權限的邊界。