Leo aquí que un archivo con una extensión falsa (mp4) puede comprometer un sistema GNU/Linux.
En el caso que se estudia, es un paquete de vídeo que trae dos archivos, uno real y otro falso, porque en realidad es un archivo .desktop, que como todos saben, es un script para iniciar un programa. Pero veamos cómo se nos explica.
“Aunque este artículo utiliza Linux Mint como ejemplo, el ataque aprovecha un problema en varios administradores de archivos. El siguiente GIF demuestra el ataque.
Se extraen dos archivos. El primero (real_video.mp4) es un MP4 real de un tráiler de película. El segundo (falso_video.mp4) es un archivo .desktop, configurado para parecerse a un MP4 normal en este gestor de archivos. Lo que no podemos ver en el GIF es la conexión de Netcat que se realiza al sistema del atacante cuando se abre el archivo falso_video.mp4. El objetivo cree que falso_video.mp4 es legítimo y no tiene ni idea de que el sistema operativo acaba de ser comprometido.
La extensión de archivo .desktop se utiliza en los sistemas Linux para crear lanzadores de aplicaciones. Los usuarios de Mint Linux pueden listar los archivos en el directorio /usr/share/applications/ para ver algunos ejemplos de esto…
Las líneas más importantes a tener en cuenta son los valores Icon= y Exec=. El valor Icon es responsable del icono utilizado para representar el archivo .desktop. El valor Exec es responsable de los comandos ejecutados cuando el objetivo hace clic en el archivo .desktop. En este caso, al hacer clic en el archivo se ejecuta el comando cinnamon-settings con la opción de calendario. Al hacer clic en este archivo se abrirá la ventana de configuración “Fecha y hora”.
Un atacante puede abusar de esta funcionalidad para cambiar la forma en que el archivo .desktop aparece para el usuario y qué programa(s) se ejecuta(n) cuando se hace clic en el archivo ya que reside en el administrador de archivos“.
Ahora que alguien me explique porque desconozco la forma de trabajar con Netcat pero me asalta una duda, ¿puede un archivo .desktop en el espacio de usuario invocar un cambio de puerto de una conexión de red sin privilegios de root y así introducir malware? Que yo sepa, como simples usuarios no podemos enviar un archivo .desktop a /usr/share/Applications.
A ver, lo digo por si alguien con suficientes conocimientos que acude al blog puede darnos una explicación, porque el caso sería gravísimo. En mis 25 años con GNU/Linux no he podido cambiar un puerto como usuario normal, pero me pierdo.
Fuente: maslinux
