Risiko beim Copy Paste von Befehlen ins Terminal
-
Ich bin heute über folgenden Artikel gestolpert und möchte ihn mit euch teilen. Vermutlich geht es nicht nur mir so, dass mir bis heute das Risiko nicht bewusst war welche es gibt, wenn man stumpf einen Unix Befehl von einer beliebigen Webseite kopiert und diesen dann direkt in seinem Terminal einfügt: https://www.wizer-training.com/blog/copy-paste
Mit dieser Erkenntnis wünsche ich euch ein paar ruhige Tage
-
Ja, noch übler ist es, wenn das dann direkt in eine root shell gekleistert wird.
Dann rappelt das direkt durch. Bei einer user shell machst du nur das userland kaputt. U. a. deswegen ja auch mein penetrantes Bestehen auf einen login als user.Gut, wenn aber auch das Passwort auf sudo-Anfrage noch eingehackt wird, da ist dann auch Hopfen und Malz verloren.
-
@thomas-braun said in Risiko beim Copy Paste von Befehlen ins Terminal:
Ja, noch übler ist es
Wenn Mensch sich ein Bild(
) aus dem Internetz anschaut (oder vielleicht noch schlimmer in seine VIS einbaut?) und dieses dann eine ganze VM Maschine mitbringt die es (in Verbindung mit anderen Sicherheitslücken im System, ergo exploit 
) ermöglicht root rechte zu erlangen. Das ganze natürlich zero click, so wie man das 20202021 erwartet
https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html
Hier ein Bild:
