# CVE-2016-5195 > [!high] Dirty COW - Race Condition Crítica no Kernel Linux (9 Anos de Existência) > CVE-2016-5195, apelidado de **Dirty COW** (Dirty Copy-On-Write), é uma race condition no mecanismo de copy-on-write do kernel Linux que existe há **9 anos** antes da descoberta em 2016. Permite que qualquer usuário local escreva em arquivos somente-leitura e obtenha privilégios root, afetando práticamente todas as distribuições Linux. ## Visão Geral CVE-2016-5195 é uma race condition crítica no subsistema de gerenciamento de memória do **kernel Linux**, específicamente no mecanismo **Copy-On-Write (COW)**. A vulnerabilidade permite que um usuário local sem privilégios escreva em arquivos mapeados como somente-leitura, efetivamente obtendo acesso root ao sistema. A falha existia no kernel desde 2007 (versão 2.6.22) e foi descoberta e corrigida em outubro de 2016. O apelido **"Dirty COW"** reflete a natureza da vulnerabilidade: uma "sujeira" (condição de corrida) no mecanismo Copy-On-Write. O exploit é notavelmente confiável e rápido - em segundos, um usuário com shell de baixo privilégio pode obter root modificando `/etc/passwd` ou escrevendo em binários SUID. A amplitude do impacto é histórica: práticamente todas as distribuições Linux (Ubuntu, Debian, CentOS, RHEL, Fedora), dispositivos Android e qualquer sistema baseado em kernel Linux afetado. O CVSSv3 de 7.8 subestima o impacto real devido ao requisito local, mas na prática, qualquer acesso inicial ao sistema via exploit ou credencial comprometida converte-se imediatamente em root. > [!latam] Relevância para Brasil e LATAM > Servidores Linux são a infraestrutura dominante em data centers, cloud e ambientes de desenvolvimento no Brasil e América Latina. Dirty COW foi amplamente explorado em ataques pós-comprometimento no Brasil, especialmente em servidores web e de banco de dados que executam Apache, Nginx ou MySQL com usuários de baixo privilégio, transformando acesso web shell em controle root completo. ## Detalhes Técnicos | Campo | Detalhe | |-------|---------| | Tipo | Local Privilege Escalation (Race Condition) | | Subsistema | Linux Kernel Memory Management (COW) | | Exploit | Escrever em `/etc/passwd` ou binário SUID | | Confiabilidade | Alta (exploit funciona em segundos) | | Kernels afetados | 2.6.22 a 4.8.3 | | CVSS | 7.8 (High) | | CISA KEV | Sim | ## TTPs Relacionadas - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - [[t1166-setuid-and-setgid|T1166 - Setuid e Setgid]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] ## Mitigação - Atualizar o kernel Linux para versão 4.8.3 ou superior imediatamente - Aplicar patches das distribuições: Ubuntu (USN-3105-1), Debian (DSA-3696), RHEL/CentOS (RHSA-2016:2098) - Para Android, aplicar patches de segurança de novembro 2016 ou posteriores - Implementar [[m1051-update-software|M1051 - Update Software]] com prioridade para patches de kernel - Monitorar escrita em arquivos críticos (`/etc/passwd`, binários SUID) via auditd ## Referências - [Dirty COW - Site do Descobridor](https://dirtycow.ninja) - [CISA KEV - CVE-2016-5195](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Red Hat Security Advisory RHSA-2016:2098](https://access.redhat.com/errata/RHSA-2016:2098) - [NVD - CVE-2016-5195](https://nvd.nist.gov/vuln/detail/CVE-2016-5195)