Uma falha de segurança no kernel do Linux, identificada como CVE 2025 21756, pode permitir que um invasor consiga acesso total ao sistema, mesmo sem permissões de administrador. Essa vulnerabilidade está relacionada ao uso do recurso de comunicação chamado Vsock, utilizado para troca de dados entre diferentes partes do sistema. Tudo começou quando um pesquisador encontrou uma atualização simples no código do kernel durante uma competição de segurança chamada KernelCTF.

A correção parecia pequena demais, mas indicava que existia um erro que, se bem explorado, poderia dar ao invasor acesso privilegiado. Isso despertou o interesse do pesquisador, que decidiu investigar mais a fundo. O problema acontece quando um componente do sistema tenta acessar uma parte da memória que já foi liberada. No caso dessa falha, ao remover uma conexão Vsock, o sistema podia reduzir o contador de uso de um objeto de forma errada. Quando esse número chega a zero, o sistema entende que o objeto pode ser apagado da memória. O erro permite que o invasor aproveite essa brecha para reutilizar essa área de memória de forma maliciosa.

Esse tipo de falha é conhecido como “uso após liberação” ou Use After Free. Se o invasor conseguir aproveitar essa situação no momento certo, ele pode executar comandos no sistema com privilégios de administrador, o que significa controle total da máquina. Para estudar e desenvolver esse tipo de ataque, é necessário montar um ambiente de testes. O pesquisador utilizou ferramentas como QEMU e GDB para simular o sistema e observar como a falha se comporta. Ele escolheu trabalhar com a versão 6.6.75 do kernel do Linux, uma das afetadas.