5月8日，安全研究人员Hyunwoo Kim公开了一个名为Dirty Frag的安全漏洞，该漏洞存在于Linux内核中，属于本地权限提升（LPE）漏洞，攻击者可利用低权限账户获取root权限。该漏洞影响至少六种Linux发行版，其特性让人联想到4月底披露的Copy Fail（CVE-2026-31431），因此有研究人员将Dirty Frag称为“Copy Fail 2”。值得注意的是，尽管Kim在披露时提到网络上已有概念验证（PoC）代码，但微软表示，他们已发现疑似实际利用该漏洞的攻击行为。

微软同日发布博客文章指出，其监测到与su命令相关的权限提升活动，过程中可能使用了Dirty Frag或Copy Fail。攻击者首先建立外部SSH连接，并生成交互式Shell，随后执行ELF二进制文件，通过su实现权限提升。成功提权后，攻击者篡改与GLPI LDAP身份验证相关的特定文件，对GLPI系统及配置进行侦察，并检查存在漏洞的指定文件。

随后，攻击者尝试访问敏感数据，并与PHP会话（session）进行交互，先删除并清除部分会话文件，再读取剩余内容。微软强调，尽管Dirty Frag与Copy Fail存在共性，均通过操纵Linux页缓存实现提权，但Dirty Frag引入了更多攻击路径，使得漏洞利用的成功率和稳定性较Copy Fail进一步提升。