Όπως ανακάλυψαν ερευνητές ασφαλείας, το Adobe Acrobat παρεμποδίζει το λογισμικό antivirus να ελέγχει τα αρχεία PDF, δημιουργώντας κίνδυνο για την ασφάλεια των χρηστών.
Το προϊόν της Adobe ελέγχει εάν στοιχεία από 30 προϊόντα ασφαλείας έχουν φορτωθεί στις διεργασίες του και πιθανότατα τα αποκλείει, ουσιαστικά απαγορεύοντάς τους την παρακολούθηση για κακόβουλη δραστηριότητα.
Για να λειτουργήσει ένα εργαλείο ασφαλείας, χρειάζεται ορατότητα σε όλες τις διεργασίες του συστήματος, κάτι που επιτυγχάνεται με την έγχυση βιβλιοθηκών δυναμικής σύνδεσης (DLL) σε προϊόντα λογισμικού στο μηχάνημα.
Τα αρχεία PDF έχουν καταχραστεί στο παρελθόν, για την εκτέλεση κακόβουλου λογισμικού στο σύστημα. Μια μέθοδος είναι η προσθήκη μιας εντολής στην ενότητα «OpenAction» του εγγράφου για την εκτέλεση εντολών PowerShell για κακόβουλη δραστηριότητα, εξηγούν οι ερευνητές της εταιρείας κυβερνοασφάλειας Minerva Labs.
Σύμφωνα με μια αναφορά αυτή την εβδομάδα, η λίστα έχει αυξηθεί και περιλαμβάνει 30 DLL από προϊόντα ασφαλείας διαφόρων προμηθευτών. Μεταξύ των πιο δημοφιλών είναι τα Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft.
Η αναζήτηση στο σύστημα πραγματοποιείται με το «libcef.dll», μια βιβλιοθήκη δυναμικής σύνδεσης ενσωματωμένου πλαισίου Chromium (CEF), που χρησιμοποιείται από μια μεγάλη ποικιλία προγραμμάτων.
Ενώ το Chromium DLL συνοδεύεται από μια σύντομη λίστα στοιχείων που πρέπει να μπουν στη μαύρη λίστα επειδή προκαλούν προβλήματα, οι προμηθευτές που το χρησιμοποιούν μπορούν να κάνουν τροποποιήσεις και να προσθέσουν οποιοδήποτε DLL θέλουν.
- Οι ερευνητές εξηγούν ότι “το libcef.dll φορτώνεται από δύο διαδικασίες της Adobe: AcroCEF.exe και RdrCEF.exe“, επομένως και τα δύο προϊόντα ελέγχουν το σύστημα για στοιχεία των ίδιων προϊόντων ασφαλείας.
Εξετάζοντας πιο προσεκτικά τι συμβαίνει με τα DLL που εισάγονται στις διεργασίες της Adobe, η Minerva Labs διαπίστωσε ότι η Adobe ελέγχει εάν η τιμή bBlockDllInjection κάτω από το κλειδί μητρώου ‘SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\‘ έχει οριστεί σε 1. Εάν ναι, θα αποτρέψτε τα DLL του λογισμικού προστασίας από ιούς να εισαχθούν σε διαδικασίες.
- Αξίζει να σημειωθεί ότι η τιμή του κλειδιού μητρώου όταν εκτελείται το Adobe Reader για πρώτη φορά είναι «0» και ότι μπορεί να τροποποιηθεί ανά πάσα στιγμή.
Η Adobe επιβεβαίωσε ότι οι χρήστες ανέφεραν ότι αντιμετωπίζουν πρόβλημα λόγω του ότι τα στοιχεία DLL από ορισμένα προϊόντα ασφαλείας δεν είναι συμβατά με τη χρήση της βιβλιοθήκης CEF από το Adobe Acrobat.
Η εταιρεία πρόσθεσε ότι αυτή τη στιγμή συνεργάζεται με αυτούς τους προμηθευτές για την αντιμετώπιση του προβλήματος και «για να διασφαλίσει τη σωστή λειτουργικότητα με τον σχεδιασμό CEF sandbox της Acrobat στο μέλλον».