Trabajo en el manejo de incidentes / análisis de amenazas y nuestros eventos se basan en las reglas de Snort creadas a partir de CVE. Estoy investigando un evento en particular y quiero entender qué es exactamente la vulnerabilidad, cómo puede ser explotada y cómo puedo determinar si un evento es válido o si es un falso positivo.
Desde hace mucho tiempo, hemos actualizado Adobe Reader con actualizaciones que reemplazan a las versiones vulnerables conocidas, por lo que no me preocupa demasiado, pero no quiero que haya archivos PDF maliciosos en la red. Por eso quiero identificar lo que sea que haga que se marque.
Tengo la regla de Snort dividida en partes y estoy aprendiendo cómo se usan los PCRE en content: pero eso está fuera del alcance de esta pregunta. Solo quería agregar eso allí antes de que alguien diga "observe la regla de Snort y vea lo que está buscando".
El CVE al que estoy haciendo referencia es CVE-2013-0621 ( ARCHIVO-PDF Adobe Acrobat Reader. La geometría incompleta de la imagen JP2K potencialmente detectó un PDF malicioso ), pero en realidad no hay mucha información aparte de eso. acciones de corrección recomendadas, vulnerabilidades relacionadas y versiones susceptibles.
No sé si la vulnerabilidad está dentro del formato JP2K que le permite aprovechar un problema conocido de Adobe Reader o si la carga útil está incrustada en el PDF.
Cualquier información sería muy útil.