Facepalm: Adobe Acrobat блокирует сканирование PDF-файлов этими популярными антивирусными программами

Веб-страница Adobe Acrobat Reader
Злоумышленники нередко внедряют вредоносные программы в PDF-файлы. Нам напомнили об этом всего два месяца назад, когда HP Wolf Security предупредила в статье под названием «Вредоносное ПО PDF еще не умерло» о кампании кейлоггеров Snake . Что еще хуже, исследователи безопасности в Minerva Labs обнаружили странное поведение в программе Adobe Acrobat Reader, которое может подвергать пользователей большему риску угроз, скрытых в файлах PDF.
Проще говоря, Acrobat Reader блокирует десятки популярных антивирусных программ от проверки файлов PDF на наличие вредоносных программ. В список входят Trend Micro, BitDefender, AVAST, F-Secure, McAfee, 360 Security, Citrix, Symantec, Morphisec, Malwarebytes, Checkpoint, Ahnlab, Cylance, Sophos, CyberArk, Citrix, BullGuard, Panda Security, Fortinet, Emsisoft, ESET, K7 TotalSecurity, Kaspersky, AVG, CMC Internet Security, Samsung Smart Security ESCORT, Moon Secure, NOD32, PC Matic и SentryBay.
Часть того, как программы безопасности работают со своим моджо, заключается в внедрении библиотек динамической компоновки (DLL) в приложения. Однако за последние несколько месяцев Minerva сообщила, что наблюдала постепенный всплеск процессов Acrobat Reader, проверяющих, какие DLL-файлы продуктов безопасности загружаются в него, и это показалось исследователям довольно необычным.
«Результат блокировки Adobe dll-инъекций модулей безопасности потенциально может быть катастрофическим. Когда продукт безопасности не внедряется в процесс, это в основном отключает любую видимость, которую он может иметь для процесса, и препятствует возможностям обнаружения и предотвращения внутри процесса и внутри каждого. создал дочерние процессы», — говорит Минерва.
Зачем Adobe это делать? Acrobat Reader использует библиотеку Chromium Embedded Framework (CEF). В заявлении , предоставленном исследовательской группе, Adobe объяснила, что движок на основе Chromium имеет ограниченный дизайн песочницы и может вызывать проблемы со стабильностью при работе с некоторыми инструментами безопасности.
«Похоже, что Adobe выбрала подход, который решает насущную проблему совместимости, но может создать новые проблемы с точки зрения безопасности… Для нас это яркий пример крупной корпоративной компании с многомиллионной мощной установкой. -база отдает приоритет удобству и, по сути, внедряет поведение, подобное вредоносному ПО, в свое программное обеспечение вместо того, чтобы работать над реальным решением проблемы», — заявляет Минерва.
Adobe признала Bleeping Computer что пользователи сообщали о проблемах из-за этого подхода. Хотя решение кажется немного недальновидным, компания также заявила, что работает с пострадавшими поставщиками средств защиты для решения этой проблемы.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал