¿En qué punto se produce un exploit contra TAILS?

Una secuencia típica es un exploit de ejecución remota de código seguido de un escape de sandbox y una escalada de privilegios.

Primero, el atacante tendría que poder ejecutar código dentro de Tails. Esto es posible a través de la ejecución remota de código si hay una vulnerabilidad en Tails que permite esto:

• La explotación de una vulnerabilidad en un navegador o bibliotecas que la utilizan puede ser explotada si el usuario visita un sitio web que explota esta vulnerabilidad. Se explota activando el navegador para que descargue y visualice (imagen / medios) o ejecute (javascript) el exploit creado, lo que le permite al atacante ejecutar código arbitrario en su máquina activando una vulnerabilidad conocida. Hay muchas posibilidades: vulnerabilidades en los analizadores de imágenes, en el motor de Javascript, en el analizador de HTML, en varios formatos de audio o video, etc.

• Explotación de una vulnerabilidad en otros componentes de red utilizados por Tails (como el cliente NTP que se usa para la sincronización de tiempo). Un atacante que aprende sobre la vulnerabilidad en el cliente NTP, y puede obtener control sobre el servidor NTP relevante, puede desencadenar esta vulnerabilidad de forma remota y sin la interacción del usuario. Lo mismo para explotar una vulnerabilidad en el propio cliente Tor.

Una vez que el atacante obtuvo la ejecución de código en un sistema (incluso con privilegios limitados y sin superusuario), el atacante puede intentar usar otro tipo de explotaciones, como las explotaciones de escalamiento de privilegios, para obtener privilegios en el sistema. Y dependiendo de la meta del atacante, tal vez ni siquiera sea necesario obtener privilegios.

Entonces, como puede ver, los exploits pueden ocurrir en muchos puntos y no están limitados a un solo punto.