微軟警告Dirty Frag出現疑似遭到利用的跡象

微軟在同一天發布部落格文章指出，他們看到與su有關的權限提升活動，過程裡可能使用了Dirty Frag或Copy Fail。駭客先建立外部SSH連線，並產生互動式的Shell，接著他們執行ELF二進位檔案，隨即透過su進行權限提升。在成功取得權限後，駭客竄改與GLPI LDAP身分驗證有關的特定檔案，並針對GLPI與系統組態進行偵察，然後檢查存在漏洞的指定檔案。

接著，駭客會試圖存取機敏資料，並與PHP連線階段（session）進行互動，先刪除及抹除部分連線階段檔案，再存取剩下的內容。微軟強調，雖然Dirty Fail與Copy Fail存在共通點，都是操縱Linux分頁快取的行為進行提權，但Dirty Fail引入更多的攻擊途徑，使得利用漏洞的成功機會與可靠度，又較Copy Fail更上一層樓。