Adobe está bloqueando activamente varias herramientas antivirus para que no escaneen documentos PDF cargados por su aplicación Adobe Acrobat Reader, según un informe de seguridad. publicado por Minerva Labs.
La compañía encontró evidencia de que Adobe está bloqueando alrededor de 30 productos de seguridad diferentes para que no escaneen documentos PDF cargados. La lista se lee como el quién es quién de las empresas de seguridad, con una notable excepción. Los productos de Trend Micro, McAfee, Symantec, ESET, Kaspersky, Malwarebytes, Avast, BitDefender y Sophos están bloqueados, según el informe. La única excepción notable, al menos desde el punto de vista de la cuota de mercado, es Microsoft Defender, que no está bloqueado por el software de Adobe.
Aquí está la lista completa de empresas y productos afectados:
Trend Micro, BitDefender, AVAST, F-Secure, McAfee, 360 Security, Citrix, Symantec, Morphisec, Malwarebytes, Checkpoint, Ahnlab, Cylance, Sophos, CyberArk, Citrix, BullGuard, Panda Security, Fortinet, Emsisoft, ESET, K7 TotalSecurity, Kaspersky, AVG, CMC Internet Security, Samsung Smart Security ESCORT, Moon Secure, NOD32, PC Matic, SentryBay
A los productos bloqueados se les niega el acceso al archivo PDF cargado, lo que significa que los productos no pueden detectar ni detener el código malicioso durante la fase de carga.
Las herramientas de seguridad inyectan DLL, bibliotecas de enlaces dinámicos, en las aplicaciones que se inician en el sistema, lo cual es necesario para obtener acceso. El bloqueo impide que se produzca la inyección.
Adobe Acrobat utiliza la biblioteca de enlaces dinámicos Chromium Embedded Framework (CEF), Libcef.dll, en dos procesos según el informe. El componente Chromium incluye una lista negra propia para evitar problemas y conflictos con los archivos DLL. Las empresas de software que utilizan libcef.dll pueden personalizar la lista negra, y parece que Adobe lo ha hecho para agregarle los archivos DLL de los productos de seguridad.
Minerva Labs señala que el resultado del bloqueo «podría ser potencialmente catastrófico». Además de la visibilidad reducida, que «dificulta las capacidades de detección y prevención dentro del proceso y dentro de todos los procesos secundarios creados», limita los medios de la aplicación de seguridad para monitorear la actividad y determinar el contexto.
Sería bastante fácil para un actor de amenazas agregar un comando en la sección ‘OpenAction’ de un pdf, que luego puede ejecutar PowerShell, que podría, por ejemplo, descargar el malware de la siguiente etapa y ejecutarlo de manera reflexiva. Cualquiera de estas acciones no se detectaría si faltan los enlaces del producto de seguridad.
Minerva Labs se puso en contacto con Adobe para averiguar por qué Adobe Acrobat bloquea los productos de seguridad. Adobe respondió que ‘esto se debe a la ‘incompatibilidad con el uso de CEF de Adobe Acrobat, un motor basado en Chromium con un diseño de espacio aislado restringido, y puede causar problemas de estabilidad’.
En otras palabras: Adobe ha optado por abordar los problemas de estabilidad bloqueando los procesos de seguridad. Minerva Labs señala que Adobe eligió la conveniencia y la inserción de un comportamiento «similar al malware» para resolver el problema de forma permanente.
computadora pitido recibió una respuesta similar cuando el sitio contactó a Adobe. Adobe confirmó que estaba trabajando con los proveedores de los productos de seguridad para abordar las incompatibilidades y «garantizar la funcionalidad adecuada con el diseño de espacio aislado CEF de Acrobat en el futuro».
Ahora tu: ¿Utiliza Adobe Acrobat Reader u otra aplicación de PDF?