Исследователи безопасности обнаружили, что Adobe Acrobat пытается заблокировать 30 антивирусов, не давая им просматривать открываемые PDF-файлы. Продукт Adobe проверяет, загружены ли в его процессы компоненты из этих антивирусов, и, вероятно, блокирует их, лишая возможности отслеживать вредоносную активность.
Чтобы инструмент безопасности работал, ему необходимо видеть все процессы в системе, что достигается за счет внедрения динамически подключаемых библиотек (DLL) в запускаемые программные продукты.
В прошлом файлы PDF использовались для запуска вредоносных программ. В качестве одного из способов соответствующую команду добавляли в раздел «OpenAction» документа для запуска команд PowerShell.
Исследователи из компании по кибербезопасности Minerva Labs заявили, что с марта 2022 года они наблюдают всплеск процессов Adobe Acrobat Reader, пытающихся запросить, какие библиотеки DLL продукта безопасности загружены в него, путём получения дескриптора DLL.
Список включает уже 30 библиотек DLL от продуктов безопасности различных производителей. Среди наиболее популярных — Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft.
Запросы к системе выполняются с помощью «libcef.dll», библиотеки динамической компоновки Chromium Embedded Framework (CEF), используемой широким спектром программ.
Хотя Chromium DLL поставляется с кратким списком компонентов, которые должны быть занесены в чёрный список, поскольку они вызывают конфликты, поставщики могут вносить изменения и добавлять любую DLL, которую они хотят. Исследователи объясняют, что «libcef.dll загружается двумя процессами Adobe: AcroCEF.exe. и RdrCEF.exe», поэтому оба продукта проверяют систему на наличие компонентов одних и тех же продуктов безопасности.
Присмотревшись к тому, что происходит с DLL, внедренными в процессы Adobe, Minerva Labs обнаружила, что Adobe проверяет, установлено ли значение bBlockDllInjection в разделе реестра «SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\» как 1. Если это так, то библиотека DLL антивирусного программного обеспечения не внедряется в процессы. Значение ключа реестра при первом запуске Adobe Reader равно «0», и его всегда можно изменить.
«Учитывая имя ключа реестра dBlockDllInjection и просмотрев документацию cef, мы можем предположить, что занесенные в чёрный список библиотеки DLL предназначены для выгрузки», — пояснили в Minerva Labs.
По словам исследователя Натали Загаровой, значение по умолчанию для ключа реестра установлено как «1», что указывает на активную блокировку. Этот параметр может зависеть от операционной системы или установленной версии Adobe Acrobat, а также от других переменных в системе.
В сообщении на форумах Citrix от 28 марта пользователь, жалующийся на ошибки Sophos AV из-за установленного продукта Adobe, сказал, что компания «предложила отключить внедрение DLL для Acrobat и Reader».
В Adobe подтвердили, что пользователи сообщали о проблемах из-за того, что компоненты DLL из некоторых продуктов безопасности несовместимы с использованием Adobe Acrobat библиотеки CEF.
«Нам известны сообщения о том, что некоторые библиотеки DLL из инструментов безопасности несовместимы с использованием Adobe Acrobat CEF, движка на основе Chromium с ограниченным дизайном песочницы, и могут вызывать проблемы со стабильностью», — отметили в Adobe
Компания добавила, что в настоящее время она работает с этими поставщиками над решением проблемы и «обеспечением надлежащей функциональности песочницы Acrobat CEF в будущем».
Исследователи Minerva Labs утверждают, что Adobe выбрала решение, которое решает проблемы совместимости, но создает реальный риск атаки, не позволяя программному обеспечению безопасности защитить систему.