Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Adobe Acrobat puede bloquear las herramientas antivirus para que no supervisen los archivos PDF

Adobe Acrobat puede bloquear las herramientas antivirus para que no supervisen los archivos PDF

por Dragora

Los investigadores de seguridad descubrieron que Adobe Acrobat está tratando de bloquear el software de seguridad para que no pueda ver los archivos PDF que abre, lo que crea un riesgo de seguridad para los usuarios.

El producto de Adobe está verificando si los componentes de 30 productos de seguridad están cargados en sus procesos y probablemente los bloquee, negándoles esencialmente el monitoreo de actividad maliciosa.

Marcar AV incompatibles

Para que una herramienta de seguridad funcione, necesita visibilidad de todos los procesos en el sistema, lo que se logra mediante la inyección de bibliotecas de enlaces dinámicos (DLL) en los productos de software que se inician en la máquina.

Los archivos PDF han sido objeto de abuso en el pasado para ejecutar malware en el sistema. Un método es agregar un comando en la sección ‘OpenAction’ del documento para ejecutar comandos de PowerShell para actividades maliciosas, explican los investigadores de la empresa de ciberseguridad Minerva Labs.

«Desde marzo de 2022, hemos visto un aumento gradual en los procesos de Adobe Acrobat Reader que intentan consultar qué archivos DLL de productos de seguridad están cargados mediante la adquisición de un identificador de DLL» – Minerva Labs

Según un informe de esta semana, la lista ha crecido para incluir 30 archivos DLL de productos de seguridad de varios proveedores. Entre los más populares entre los consumidores se encuentran Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft.

La consulta del sistema se realiza con ‘libcef.dll’, una biblioteca de enlaces dinámicos de Chromium Embedded Framework (CEF) utilizada por una amplia variedad de programas.

Si bien la DLL de Chromium viene con una breve lista de componentes que se incluirán en la lista negra porque causan conflictos, los proveedores que la utilizan pueden realizar modificaciones y agregar cualquier DLL que deseen.

Lista de archivos DLL codificados de Chromium , fuente: Minerva Labs

 

Los investigadores explican que «libcef.dll se carga mediante dos procesos de Adobe: AcroCEF.exe y RdrCEF.exe», por lo que ambos productos verifican el sistema en busca de componentes de los mismos productos de seguridad.

Mirando más de cerca lo que sucede con las DLL inyectadas en los procesos de Adobe, Minerva Labs descubrió que Adobe verifica si el  valor de bBlockDllInjection  en la clave de registro ‘ SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\ ‘ está configurado en 1. Si es así, lo hará evitar que las DLL del software antivirus se inyecten en los procesos.

Cabe señalar que el valor de la clave de registro cuando se ejecuta Adobe Reader por primera vez es ‘0’ y que se puede modificar en cualquier momento.

«Con el nombre de clave de registro dBlockDllInjection, y observando la documentación cef , podemos suponer que las DLL incluidas en la lista negra están designadas para descargarse» – Minerva Labs

Según la investigadora de Minerva Labs, Natalie Zargarov, el valor predeterminado para la clave de registro se establece en ‘1’, lo que indica un bloqueo activo. Esta configuración puede depender del sistema operativo o de la versión de Adobe Acrobat instalada, así como de otras variables en el sistema.

En una  publicación en los foros de Citrix  el 28 de marzo, un usuario que se quejaba de los errores de Sophos AV debido a que tenía instalado un producto de Adobe dijo que la empresa “sugirió desactivar la inyección de DLL para Acrobat y Reader.

Adobe responde al usuario de Citrix que experimenta errores en la máquina con Sophos AV

Trabajando en el problema

En respuesta a BleepingComputer, Adobe confirmó que los usuarios han informado que experimentan problemas debido a que los componentes DLL de algunos productos de seguridad son incompatibles con el uso de la biblioteca CEF de Adobe Acrobat.

«Somos conscientes de los informes de que algunas DLL de las herramientas de seguridad son incompatibles con el uso de CEF de Adobe Acrobat, un motor basado en Chromium con un diseño de espacio aislado restringido, y pueden causar problemas de estabilidad» – Adobe

La compañía agregó que actualmente está trabajando con estos proveedores para abordar el problema y «para garantizar la funcionalidad adecuada con el diseño de espacio aislado CEF de Acrobat en el futuro».

Los investigadores de Minerva Labs argumentan que Adobe eligió una solución que resuelve los problemas de compatibilidad pero presenta un riesgo de ataque real al evitar que el software de seguridad proteja el sistema.

BleepingComputer se ha puesto en contacto con Adobe con más preguntas para explicar las condiciones en las que se produce el bloqueo de DLL y actualizará el artículo una vez que tengamos la información.

Fuente: https://www.bleepingcomputer.com

You may also like

Dejar Comentario

Click to listen highlighted text!