- Регистрация
- 26.10.16
- Сообщения
- 2,237
- Онлайн
- 36д 18ч 11м
- Сделки
- 251
- Нарушения
- 0 / 0
В этот раз крупным текстом в заголовках засветился, а точнее засветили специалисты из Minerva Labs, известную каждому юзеру ПК популярнейшую читалку Adobe Acrobat Reader, которая по непонятным причинам решила блокировать антивирусные инструменты для мониторинга PDF-файлов.
Как изложили исследователи, продукт Adobe проверяет, загружены ли в его процессы компоненты ряда продуктов безопасности и блокирует их, фактически лишая их возможности отслеживать вредоносную активность.
Наверное многие еще со школы помнят, как раньше файлы PDF активно использовались для запуска вредоносных программ в системе и чтобы инструмент безопасности отработал, ему необходима видимость всех процессов в системе, что достигается за счет внедрения динамически подключаемых библиотек (DLL) в программные продукты, запускаемые на машине.
Поведение, похожее на поведение подозрительных или вредоносных приложений, связано с использованием Acrobat Reader встроенной платформы Chromium Embedded Framework (CEF), которая имеет некоторые проблемы несовместимости с некоторыми продуктами безопасности.
Minerva заявила, что наблюдала постепенный всплеск такого поведения начиная с марта 2022 года, когда была обновлена библиотека libcef.dll — библиотека CEF. Libcef используется многочисленными приложениями и содержит список DLL, о которых известно, что они вызывают конфликты и которые заблокированы.
Из-за проблем совместимости в Adobe решили выпилить 30 библиотек DLL от различных поставщиков. Среди наиболее популярных — Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft. Тем самым, Acrobat Reader не позволяет продуктам безопасности внедрять библиотеки DLL в процессы AcroCEF.exe и RdrCEF.exe, которые обрабатывают сетевые взаимодействия и некоторые облачные службы документов.
Запрещая продуктам безопасности внедрять свои библиотеки в процессы, Acrobat фактически лишает возможности видеть эти процессы, что создает угрозу безопасности. Например, злоумышленнику достаточно просто добавить команду в раздел «OpenAction» файла PDF и выполнить скрипт на PowerShell, который может загрузить малварь или еще чего.
В общем камень в огород Adobe был брошен по причине того, что они выбрали легкий путь для решения проблемы совместимости, не принимая во внимание последствия такого подхода для безопасности.
В Adobe скромно подтвердили, что им известно об отчете Minerva и что они работают с поставщиками средств защиты для решения проблемы.
Как говорят в подобных случаях: "Бизнес, ничего личного". Либо вовсе есть подозрение, что такие случайности не случайны и сделаны по указанию "Большого брата". Впрочем конспирологию оставим как пищу для размышления, а факты остаются фактами.
