Lavoro nella gestione degli incidenti / analisi delle minacce e i nostri eventi sono basati sulle regole Snort create dai CVE. Sto facendo ricerche su un particolare evento e sto cercando di capire qual è esattamente la vulnerabilità, come può essere sfruttato e come posso determinare se un evento è valido o un falso positivo.
Da tempo abbiamo aggiornato Adobe Reader con aggiornamenti che sostituiscono le versioni vulnerabili conosciute, quindi non sono preoccupato troppo, ma non voglio PDF dannosi che si trovano sulla rete. Questo è il motivo per cui voglio identificare qualunque cosa causi la sua segnalazione.
Ho la regola Snort suddivisa in parti e sto imparando come vengono utilizzati i PCRE in content: , ma questo è al di fuori dello scopo di questa domanda. Volevo solo aggiungere quello lì dentro prima che qualcuno dica "guarda nella regola Snort e vedi cosa sta cercando."
Il CVE a cui faccio riferimento è CVE-2013-0621 ( FILE-PDF Adobe Acrobat Reader incompleta JP2K image geometry potenzialmente dannoso PDF rilevato ) ma non ci sono molte informazioni su di esso diverse da azioni di correzione consigliate, vulnerabilità correlate e versioni sensibili.
Non so se la vulnerabilità è all'interno del formato JP2K che consente di trarre vantaggio da un noto problema di Adobe Reader o se il carico utile è incorporato nel PDF.
Qualsiasi analisi sarebbe molto utile.