Rilevato virus in pdf - dovrei essere preoccupato (CVE-2014-8449)?

5

Ho scaricato un pdf in precedenza e stavo cercando di inviarlo al mio amico, ma Gmail ha detto che ha rilevato un virus. Così l'ho eseguito tramite virustotal.com e solo 1 scanner su 56 ha trovato un virus: ClamAV è tornato con "PDF.Exploit.CVE_2014_8449". Nessuno degli altri 55 scanner ha trovato nulla. Ho cercato CVE_2014_8449 e ho trovato questo: "Intero overflow in Adobe Reader e Acrobat 10.x prima di 10.1.13 e 11.x prima di 11.0.10 su Windows e OS X consente agli aggressori di eseguire codice arbitrario tramite vettori non specificati ". Non sono sicuro di cosa significhi, e dovrei essere preoccupato anche se solo uno dei 56 scanner ha trovato questo? Come posso sapere se questo è un problema reale? Dovrei semplicemente sbarazzarmi del pdf?

Grazie!

    
posta Sehejen 07.01.2015 - 20:34
fonte

3 risposte

7

CVE-2014-8449 "Integer overflow in Adobe Reader and Acrobat 10.x before 10.1.13 and 11.x before 11.0.10 on Windows and OS X allows attackers to execute arbitrary code via unspecified vectors"

Ciò significa che è stato possibile fornire un pdf dannoso che, una volta aperto con Adobe Acrobat Reader (più vecchio di quelle versioni, quando hanno corretto il bug), l'utente malintenzionato poteva eseguire codice dannoso (come scaricare ed eseguire un virus avanzato).

Quindi sì, è un motivo per essere preoccupati. Potrebbe essere un falso positivo? Può essere. Non conosco la certezza di questa regola. Non aprirò certamente tale file con una versione vulnerabile (a meno che non stia tentando di attivare il virus).

Should I just get rid of the pdf?

Probabilmente. Da dove viene il pdf?

    
risposta data 07.01.2015 - 20:55
fonte
3

È improbabile che un overflow di interi in Acrobat si verifichi in un altro visualizzatore. Ti consiglio di installare VMWare Player, installare l'ultima versione di Debian / Ubuntu / qualsiasi distribuzione Linux che hai a portata di mano in una VM, accendere la VM con accesso alla rete disabilitato, aprendo il file PDF con Evince , stampandolo in PostScript e convertendo il PostScript in PDF.

Quindi, controllerei il file risultante tramite VirusTotal. Per favore considera il seguente consiglio da Ross Ridge :

It's far from certain that the conversion process from PDF to PostScript and back to PDF wouldn't preserve the integer overflow exploit (assuming one actually exists in the document). PDF was designed in a way that makes conversion to PostScript trivial, the exploit would have a direct PostScript translation. The exploit could end up being translating back into PDF, if not in the exact same way as originally represented, in a compatible representation.

(emphasis mine - D.H.)

MODIFICA: se il controllo post conversione non riesce, porta gli screenshot dalla VM al telefono e inviali all'amico. È tempo di essere paranoico ...

Tuttavia, se non si ha fiducia nell'origine del file, e le informazioni in esso contenute non sono abbastanza valide per essere inviate così come sono, inclusa la formattazione, per il tuo amico, vorrei semplicemente scaricare il file piuttosto che rischiare di rovinare l'amicizia.

    
risposta data 07.01.2015 - 21:07
fonte
0

La cosa fondamentale da cercare quando si sta analizzando un CVE è prima di tutto determinare se il software è elencato come interessato. Se il tuo software non è vulnerabile, non significa che devi necessariamente condividere il file perché il tuo amico potrebbe essere vulnerabile e potrebbe esserci qualche responsabilità legale per condividere consapevolmente un file dannoso.

L'età del file giocherà anche un fattore importante qui. Se il PDF è stato creato 5 anni fa e recentemente lo hai scaricato, il risultato di ClamAV è un falso positivo. Questo CVE particolare ha solo pochi mesi e se stiamo vedendo un PDF più vecchio di quello, hai a che fare con super criminali o un falso positivo.

Se non sei interessato e il file aveva solo pochi giorni di vita, consideralo un'esperienza di apprendimento e in futuro solo i file aperti da posizioni rispettate.

Inoltre, una domanda riguardante un incidente specifico è difficile da rispondere alla comunità senza ulteriori risultati, come l'origine del file e un link totale del virus (o altra sandbox) per esaminare le osservazioni comportamentali.

    
risposta data 07.01.2015 - 21:39
fonte

Leggi altre domande sui tag