私はインシデント処理/脅威分析に取り組んでおり、イベントはCVEから構築されたSnortルールに基づいています。私は特定のイベントを調査していて、脆弱性が正確に何であるか、それがどのように悪用される可能性があるか、そしてイベントが有効か誤検知かを判断する方法を理解したいと思っています。
既知の脆弱なバージョンに取って代わるアップデートでAdobeReaderにパッチを適用してから長い間、私はそれについてあまり心配していませんが、悪意のあるPDFがネットワーク上に存在することを望んでいません。そのため、フラグが立てられる原因を特定したいと思います。
Snortルールをいくつかの部分に分割し、PCREがcontent:
でどのように使用されるかについて学習していますが、それはこの質問の範囲外です。誰かが「Snortルールを調べて、それが何を探しているのかを確認する」と言う前に、そこにそれを追加したかっただけです。
私が参照しているCVEはCVE-2013-0621(FILE-PDF Adobe AcrobatReaderの不完全なJP2K画像ジオメトリが悪意のある可能性があるPDF検出))ですが、実際にはありません推奨される修正アクション、関連する脆弱性、影響を受けやすいバージョン以外の多くの情報。
脆弱性が既知のAdobeReaderの問題を利用できるJP2K形式内にあるのか、それともペイロードがPDFに埋め込まれているのかはわかりません。
どんな洞察も非常に役に立ちます。
このエクスプロイトは、バッファオーバーフローを引き起こすために、ファイルのどの部分をマングルする必要があるかに基づいて、単にタイトルが付けられています。 SecurityFocus post を読むと、次のように表示されます。
攻撃者はこの問題を悪用して、影響を受けるアプリケーションを実行しているユーザーのコンテキストで任意のコードを実行する可能性があります。エクスプロイトの試みが失敗すると、サービス拒否状態が発生する可能性があります。
言い換えると、攻撃者はバッファオーバーフローを引き起こすためにマングル(または元の値を非常に大きな値に置き換える)してからDoSを引き起こします(アドバイザリは攻撃者がコードを実行するためのスコープについては言及していません)