ИБ-эксперты заметили, что Adobe Acrobat пытается не дать антивирусам изучать открываемые пользователями PDF-файлы, тем самым создавая угрозу безопасности. Сообщается, что Adobe Acrobat проверяет, интересуются ли его процессами компоненты примерно 30 защитных продуктов, а затем блокирует их, фактически лишая возможности отслеживать вредоносную активность.
Аналитики Minerva Labs объясняют, что обычно для работы защитных решений нужна «видимость» всех процессов в системе. Как правило, это достигается путем внедрения DLL в софт, запускаемый на машине пользователя. С марта 2022 года эксперты наблюдают постепенный рост активности процессов Adobe Acrobat Reader, которые пытаются узнать, какие библиотеки DLL, связанные с защитными продуктами, загружены (через получение дескриптора DLL).
Согласно отчету, в настоящее время Adobe ищет около 30 библиотек DLL, в том числе, связанных с антивирусами Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft.
Запросы к системе выполняются с помощью Chromium Embedded Framework (CEF) библиотеки libcef.dll, используемой широким спектром программ. Исследователи пишут, что «libcef.dll загружается двумя процессами Adobe: AcroCEF.exe и RdrCEF.exe», то есть оба продукта проверяют систему на наличие компонентов одних и тех же защитных решений.
Изучив, что происходит с DLL, внедренными в процессы Adobe, аналитики Minerva Labs обнаружили, что Adobe проверяет, установлено ли значение bBlockDllInjection в разделе реестра SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\ на «1». Если ответ положительный, это предотвращает инъекции DLL антивирусного ПО.
Отмечается, что, судя по мартовским сообщениям на форумах Citrix, пользователь жаловался на ошибки Sophos AV, который работал некорректно из-за продукции Adobe. Пострадавший писал, что в компании ему предложили «отключить внедрение DLL для Acrobat и Reader».
По данным издания Bleeping Computer, представители Adobe подтверждают, что пользователи действительно жалуются на «проблемы со стабильностью», которые возникают из-за того, что DLL-компоненты некоторых защитных продуктов несовместимы с используемой Adobe Acrobat библиотекой CEF. В компании говорят, что в настоящее время работают над проблемой вместе с поставщиками защитных решений.
В свою очередь исследователи Minerva Labs утверждают, что Adobe выбрала способ, который решает проблемы совместимости, однако создает угрозу безопасности и повышает риски атак, не позволяя антивирусам должным образом защитить систему.
Источник: xakep