Rapporto: Adobe Reader sta bloccando gli strumenti antivirus dalla scansione di documenti PDF caricati
Adobe sta bloccando attivamente diversi strumenti antivirus dalla scansione di documenti PDF caricati dalla sua applicazione Adobe Acrobat Reader, secondo un rapporto sulla sicurezza pubblicato da Minerva Labs.
La società ha trovato prove del fatto che Adobe sta bloccando circa 30 diversi prodotti di sicurezza dalla scansione di documenti PDF caricati. L’elenco si legge come il who is who delle società di sicurezza, con una notevole eccezione. Secondo il rapporto, i prodotti di Trend Micro, McAfee, Symantec, ESET, Kaspersky, Malwarebytes, Avast, BitDefender e Sophos sono bloccati. L’unica eccezione degna di nota, almeno dal punto di vista della quota di mercato, è Microsoft Defender, che non è bloccato dal software di Adobe.
Ecco l’elenco completo delle aziende e dei prodotti interessati:
Trend Micro, BitDefender, AVAST, F-Secure, McAfee, 360 Security, Citrix, Symantec, Morphisec, Malwarebytes, Checkpoint, Ahnlab, Cylance, Sophos, CyberArk, Citrix, BullGuard, Panda Security, Fortinet, Emsisoft, ESET, K7 TotalSecurity, Kaspersky, AVG, CMC Internet Security, Samsung Smart Security ESCORT, Moon Secure, NOD32, PC Matic, SentryBay
Ai prodotti bloccati viene negato l’accesso al file PDF caricato, il che significa che il codice dannoso non può essere rilevato o bloccato dai prodotti durante la fase di caricamento.
Gli strumenti di sicurezza iniettano DLL, librerie di collegamento dinamico, nelle applicazioni avviate sul sistema, necessarie per ottenere l’accesso. Il blocco impedisce l’esecuzione dell’iniezione.
Adobe Acrobat utilizza la libreria di collegamento dinamico Chromium Embedded Framework (CEF), Libcef.dll, in due processi secondo il rapporto. Il componente Chromium include una propria lista nera per prevenire problemi e conflitti con i file DLL. Le società di software, che utilizzano libcef.dll, possono personalizzare la lista nera e sembra che Adobe lo abbia fatto per aggiungere i file DLL dei prodotti di sicurezza.
Minerva Labs osserva che l’esito del blocco “potrebbe essere potenzialmente catastrofico”. Oltre alla visibilità ridotta, che “ostacola le capacità di rilevamento e prevenzione all’interno del processo e all’interno di ogni processo figlio creato”, limita i mezzi dell’applicazione di sicurezza per monitorare l’attività e determinare il contesto.
Sarebbe abbastanza facile per un attore di minacce aggiungere un comando nella sezione “OpenAction” di un pdf, che può quindi eseguire PowerShell, che potrebbe, ad esempio, scaricare il malware della fase successiva ed eseguirlo in modo riflessivo. Una di queste azioni non verrebbe rilevata se mancano gli hook del prodotto di sicurezza.
Minerva Labs ha contattato Adobe per scoprire perché i prodotti di sicurezza sono bloccati da Adobe Acrobat. Adobe ha risposto che “questo è dovuto “all’incompatibilità con l’utilizzo di CEF da parte di Adobe Acrobat, un motore basato su Chromium con un design sandbox limitato, e potrebbe causare problemi di stabilità””.
In altre parole: Adobe ha scelto di affrontare i problemi di stabilità bloccando i processi di sicurezza. Minerva Labs sottolinea che Adobe ha scelto la comodità e l’inserimento di un comportamento “simile a un malware” per risolvere il problema in modo permanente.
Bleeping Computer ha ricevuto una risposta simile quando il sito ha contattato Adobe. Adobe ha confermato che stava collaborando con i fornitori dei prodotti di sicurezza per affrontare le incompatibilità e “garantire il corretto funzionamento con il design sandbox CEF di Acrobat in futuro”.