Una nota antes de comenzar:
hablo sobre amenazas teóricas, no sobre piezas de malware realmente existentes y generalizadas.
Siempre que opere una cuenta sin privilegios de administrador y sudo y la infecte, por ejemplo, instalando (manual o automáticamente a sus espaldas, después de hacer clic en algún lugar donde no debería haber hecho clic) un programa de malware en su carpeta de inicio, esta infección debería limitarse a esta cuenta .
Yo digo que debería , porque:
un usuario administrador podría iniciar el archivo infectado desde su cuenta como root e infectar la máquina de esta manera.
el malware podría infectar dispositivos portátiles (memorias USB, etc.) montados por el usuario, y luego propagarse en otras máquinas u otras cuentas de usuario en la misma máquina, cuando lo monte con otro usuario más tarde.
el malware podría extenderse por la red, infectar otra máquina en su LAN y luego infectar la cuenta de administrador la próxima vez que inicie sesión y se conecte a la otra computadora infectada.
Hay varias posibilidades conocidas de cómo una aplicación podría pasar por alto las restricciones. Esto se llama "escalada de privilegios", lo que significa que la aplicación se ejecuta con privilegios más altos que los permitidos / previstos debido a errores de software explotados, permisos de sistema de archivos demasiado permisivos, etc.
Como Ubuntu viene con un tiempo de espera de sudo> 0s, no es necesario que ingrese su contraseña de sudo varias veces en un corto período de tiempo (por defecto 15 minutos, si no recuerdo mal) para ejecutar varios comandos como root, pero solo se le solicita una vez para el primero Si el malware ahora sobrescribió un archivo para el que el usuario infectado tiene acceso de escritura (ingresa un comando para ejecutarse como root usando sudo) y luego ejecuta el archivo sin usar sudo, pero dentro del tiempo de espera, ni siquiera nota que hay algo sucede con privilegios elevados.
probablemente más ...
Verá, la mayoría de las posibilidades de que el malware infecte toda la máquina requieren la interacción del usuario y / o dependen de cuán estrictamente se mantengan separadas sus cuentas, computadoras y unidades conectables.
Los errores que permiten la escalada de privilegios generalmente se solucionan rápidamente después de que los desarrolladores se enteran de ellos, pero en el tiempo transcurrido entre el descubrimiento de un error a través de piratas informáticos maliciosos y el lanzamiento de una solución, el nuevo malware podría evitar las restricciones de los usuarios que explotan el error.
Conclusión:
La mayoría del malware probablemente no sea capaz de elevar sus privilegios y obtener acceso de root para infectar toda su máquina, a menos que lo otorgue manualmente ingresando su contraseña de sudo en el cuadro de entrada incorrecto. Eso significa comportarse con cuidado y pensar en cada comando que ejecuta dos veces (especialmente si otros usuarios tienen permisos de escritura en un archivo que desea ejecutar) debería protegerlo bastante bien.
Sin embargo, nunca hay un 100% de seguridad, porque los desarrolladores de malware a menudo están un paso por delante de los programadores de software responsables de las correcciones de errores y parches de seguridad.