Nach Angaben der Forscher von Theori und Xint geht „Copy Fail" auf einen Logikfehler im kryptografischen Template für Authentifizierung im Linux-Kernel zurück. Über einen lediglich 732 Byte großen, in Python geschriebenen Exploit lässt sich die Rechteausweitung zuverlässig und mit geringem Aufwand auslösen. Der Fehler entstand durch drei einzeln betrachtet harmlose Änderungen am Kernel aus den Jahren 2011, 2015 und 2017.

Technisch nutzt der Angriff eine Manipulation des Seiten-Caches aus, in dem der Kernel ausführbare Dateien im Arbeitsspeicher vorhält. Ein unprivilegierter Nutzer kann den Cache einer lesbaren Datei beschädigen, einschließlich setuid-Binärdateien, und so Code mit Root-Rechten ausführen. Das zu Google gehörende Unternehmen Wiz erklärte, dass eine Änderung des Seiten-Caches faktisch Binärdateien zur Laufzeit verändere, ohne die Festplatte zu berühren. Angreifer könnten so Code in privilegierte Programme wie /usr/bin/su einschleusen und Root-Rechte erlangen.

Besonders kritisch ist die Lücke in containerisierten Umgebungen. Kaspersky weist in seiner Analyse darauf hin, dass Docker, LXC und Kubernetes Prozessen innerhalb eines Containers standardmäßig Zugriff auf das AF_ALG-Subsystem gewähren, sofern das Modul algif_aead im Host-Kernel geladen ist. Damit drohe ein Ausbruch aus der Container-Isolierung bis hin zur Kontrolle über die physische Maschine. Laut Kaspersky erfordert die Ausnutzung keine komplexen Techniken wie Race Conditions oder das Erraten von Speicheradressen, was die Hürde für Angreifer senkt. Eine Erkennung sei schwierig, da der Exploit ausschließlich legitime Systemaufrufe verwende, die sich kaum von normalem Anwendungsverhalten unterscheiden ließen.

Die Dringlichkeit erhöht sich durch die Verfügbarkeit eines voll funktionsfähigen Proof-of-Concept. Kaspersky zufolge wurden in quelloffenen Repositories bereits Go- und Rust-Varianten der ursprünglichen Python-Implementierung entdeckt.

CISA machte keine Angaben dazu, wie die Schwachstelle in freier Wildbahn ausgenutzt wird. Das Microsoft Defender Security Research Team berichtet jedoch von ersten Testaktivitäten, die in den kommenden Tagen sehr wahrscheinlich zu einer verstärkten Ausnutzung durch Angreifer führen dürften. Der Angriffsvektor sei lokal, erfordere nur geringe Rechte und keine Nutzerinteraktion; jeder unprivilegierte Nutzer auf einem verwundbaren System könne einen Ausnutzungsversuch unternehmen. Aus der Isolation heraus sei die Lücke nicht aus der Ferne ausnutzbar, werde aber hochwirksam, wenn sie mit einem Zugang zur Erstinfektion verkettet werde, etwa SSH-Zugriff, der Ausführung schädlicher CI-Jobs oder einem Standbein in Containern.

Behörden der US-Bundesverwaltung (Federal Civilian Executive Branch) wurden angewiesen, die Korrekturen bis zum 15. Mai 2026 einzuspielen, da die betroffenen Distributionen entsprechende Updates bereitgestellt haben. Ist ein sofortiges Patchen nicht möglich, wird empfohlen, die betroffene Funktion zu deaktivieren, eine Netzwerkisolierung umzusetzen und Zugriffskontrollen anzuwenden.