Virus detectado en pdf: ¿debería preocuparme (CVE-2014-8449)?

5

Descargué un pdf anteriormente e intentaba enviarlo a mi amigo, pero gmail dijo que detectó un virus. Así que lo encontré en virustotal.com y solo 1 de cada 56 escáneres produjo un virus: ClamAV regresó con "PDF.Exploit.CVE_2014_8449". Ninguno de los otros 55 escáneres encontró nada. Busqué en CVE_2014_8449 y encontré esto: "Desbordamiento de entero en Adobe Reader y Acrobat 10.x antes de 10.1.13 y 11.x antes de 11.0.10 en Windows y OS X permite a los atacantes ejecutar código arbitrario a través de vectores no especificados ". No estoy seguro de qué significa esto, ¿y debería preocuparme por esto aunque solo 1 de los 56 escáneres haya encontrado esto? ¿Cómo puedo saber si esto es un problema real? ¿Debo simplemente deshacerme del pdf?

¡Gracias!

    
pregunta Sehejen 07.01.2015 - 20:34
fuente

3 respuestas

7
  

CVE-2014-8449 "Desbordamiento de enteros en Adobe Reader y Acrobat 10.x   antes de 10.1.13 y 11.x antes de 11.0.10 en Windows y OS X permite   los atacantes ejecutan código arbitrario a través de vectores no especificados "

Esto significa que era posible proporcionar un pdf malicioso que, cuando se abría con Adobe Acrobat Reader (más antiguo que esas versiones, cuando solucionaba el error), el atacante podía ejecutar código malicioso (como descargar y ejecutar más) virus avanzado).

Así que sí, es una razón para estar preocupado. ¿Podría ser un falso positivo? Tal vez. No sé la certeza de esa regla. Ciertamente, no abriría dicho archivo con una versión vulnerable (a menos que estuviera intentando activar el virus).

  

¿Debo simplemente deshacerme del pdf?

Probablemente. ¿De dónde viene el pdf?

    
respondido por el Ángel 07.01.2015 - 20:55
fuente
3

Es poco probable que se produzca un desbordamiento de enteros en Acrobat en otro visor. Recomendaría instalar VMWare Player, instalar la última distribución de Debian / Ubuntu / cualquier Linux que tenga a mano en una VM, encender la VM con acceso a la red desactivado, abrir el archivo PDF con Evince , imprimiéndolo en PostScript y convirtiendo el PostScript en PDF.

Luego, verificaba el archivo resultante a través de VirusTotal. Considere el siguiente consejo de Ross Ridge :

  

Está lejos de cierto que el proceso de conversión de PDF a PostScript y de nuevo a PDF no conserve el exploit de desbordamiento de enteros (suponiendo que exista uno en el documento). PDF fue diseñado de una manera que hace que la conversión a PostScript sea trivial, el exploit tendría una traducción directa de PostScript. La vulnerabilidad podría terminar traduciéndose de nuevo a PDF, si no de la misma manera que se representó originalmente, en una representación compatible.

(énfasis mío - D.H.)

EDITAR: si la comprobación posterior a la conversión falla, simplemente tome las capturas de pantalla desde el interior de la máquina virtual con su teléfono y envíelas al amigo. Es hora de ser paranoid ...

Sin embargo, si no confía en el origen del archivo, y la información que contiene no es lo suficientemente valiosa como para ser enviada tal como está, a su amigo, simplemente descarto el archivo en lugar de arriesgarme a arruinarlo. la amistad.

    
respondido por el Deer Hunter 07.01.2015 - 21:07
fuente
0

Lo más importante que debe buscar cuando analiza un CVE es, antes que nada, determinar si su software está listado como afectado. Si su software no es vulnerable, no significa que necesariamente deba compartir el archivo porque su amigo puede ser vulnerable y puede haber alguna responsabilidad legal por compartir un archivo malicioso a sabiendas.

La edad del archivo también jugará un factor importante aquí. Si el PDF se creó hace 5 años y recientemente lo descargó, el hallazgo de ClamAV es un falso positivo. Este CVE en particular tiene solo unos meses y, si vemos un PDF más antiguo, estás tratando con súper criminales o con un falso positivo.

Si no está afectado y el archivo tenía solo unos días, considérelo como una experiencia de aprendizaje y en el futuro solo abra archivos de ubicaciones respetadas.

Además, es difícil para la comunidad responder una pregunta relacionada con un incidente específico sin hallazgos adicionales, como el origen del archivo y un enlace de virus total (u otra zona de pruebas) para revisar las observaciones de comportamiento.

    
respondido por el pr- 07.01.2015 - 21:39
fuente

Lea otras preguntas en las etiquetas