Microsoft cảnh báo lỗ hổng Dirty Frag trên Linux đã bị hacker khai thác để chiếm quyền

[Kaya]

Nhiều chuyên gia an ninh mạng đã phát đi cảnh báo về việc lỗ hổng Dirty Frag trong nhân Linux đã bị tin tặc khai thác ngoài thực tế để leo thang đặc quyền lên root. Vụ việc đang thu hút sự chú ý trong cộng đồng an ninh mạng khi lỗi này được đánh giá có mức độ nguy hiểm cao hơn cả Copy Fail do cung cấp nhiều hướng tấn công hơn.

Theo thông tin được công bố, lỗ hổng Dirty Frag là một lỗi leo thang đặc quyền cục bộ trong Linux do nhà nghiên cứu bảo mật Hyunwoo Kim phát hiện. Lỗ hổng cho phép kẻ tấn công có tài khoản đặc quyền thấp chiếm quyền root trên hệ thống mục tiêu.

Lỗi bảo mật này đã được báo cáo cho nhóm phát triển nhân Linux vào ngày 30.4.2026. Tuy nhiên, một bên thứ ba không liên quan được cho là đã phá vỡ lệnh cấm công bố thông tin, khiến chi tiết lỗ hổng bị phát tán trước khi bản vá hoàn chỉnh được phát hành.

Theo Microsoft, các chuyên gia bảo mật gần đây đã ghi nhận nhiều nhóm tin tặc lợi dụng Dirty Frag để thực hiện tấn công leo thang đặc quyền thông qua lệnh su. Quá trình tấn công bắt đầu bằng việc hacker thiết lập kết nối SSH từ bên ngoài để tạo interactive shell trên hệ thống nạn nhân. Sau đó, chúng thực thi các tệp ELF binary và sử dụng lệnh su nhằm nâng quyền lên root.

Sau khi giành được quyền truy cập cao nhất, tin tặc tiếp tục chỉnh sửa các tệp liên quan đến cơ chế xác thực LDAP của GLPI. Chúng đồng thời tiến hành trinh sát cấu hình hệ thống và môi trường GLPI trước khi tìm cách đánh cắp dữ liệu nhạy cảm. Microsoft cho biết các đối tượng còn cố gắng xóa dấu vết liên quan đến nội dung phiên làm việc nhằm che giấu hoạt động sau xâm nhập.
​

​

Điểm gây chú ý trong cộng đồng bảo mật là Dirty Frag được đánh giá có nhiều điểm tương đồng với Copy Fail, lỗ hổng mang mã định danh CVE 2026 31431 từng bị công bố vào cuối tháng 4 năm nay. Cả hai đều lợi dụng cơ chế Page Cache của Linux để leo thang đặc quyền.

Tuy nhiên, theo Microsoft, Dirty Frag nguy hiểm hơn vì cung cấp nhiều hướng khai thác hơn Copy Fail, từ đó giúp tăng tỷ lệ thành công cũng như tính ổn định của quá trình khai thác.

Thông tin này nhanh chóng tạo ra tranh luận trên mạng xã hội và các diễn đàn công nghệ khi nhiều ý kiến cho rằng hệ sinh thái Linux vốn thường được xem là an toàn hơn Windows đang ngày càng trở thành mục tiêu hấp dẫn của các nhóm tấn công hiện đại.

Một số chuyên gia nhận định việc chi tiết lỗ hổng bị công khai trước khi bản vá sẵn sàng có thể khiến nhiều máy chủ Linux đối mặt nguy cơ bị khai thác hàng loạt, đặc biệt là các hệ thống mở SSH ra Internet hoặc sử dụng cơ chế xác thực tập trung như LDAP.

Các chuyên gia bảo mật khuyến cáo quản trị viên hệ thống cần:
• Theo dõi và cập nhật bản vá Linux kernel ngay khi được phát hành
• Kiểm tra các kết nối SSH bất thường từ bên ngoài
• Giám sát hành vi sử dụng lệnh su và thực thi ELF binary đáng ngờ
• Rà soát các thay đổi trái phép trong cấu hình GLPI và LDAP
• Hạn chế cấp quyền shell cho tài khoản không cần thiết
• Tăng cường giám sát log và cơ chế phát hiện leo thang đặc quyền trên Linux​

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview