This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Adobe Acrobat está tratando de bloquear el software de seguridad

  • 0 Replies
  • 351 Views

0 Members and 1 Guest are viewing this topic.

Offline Dragora

  • *
  • Moderador Global
  • Posts: 2124
  • Actividad:
    100%
  • Country: gt
  • Reputación 25
  • La resistencia es inútil, serás absorbido.
    • View Profile

Los investigadores de seguridad descubrieron que Adobe Acrobat está tratando de bloquear el software de seguridad para que no pueda ver los archivos PDF que abre, lo que crea un riesgo de seguridad para los usuarios.

El producto de Adobe está verificando si los componentes de 30 productos de seguridad están cargados en sus procesos y probablemente los bloquee, negándoles esencialmente el monitoreo de actividad maliciosa.

Marcar AV incompatibles

Para que una herramienta de seguridad funcione, necesita visibilidad de todos los procesos en el sistema, lo que se logra mediante la inyección de bibliotecas de enlaces dinámicos (DLL) en los productos de software que se inician en la máquina.

Los archivos PDF han sido objeto de abuso en el pasado para ejecutar malware en el sistema. Un método es agregar un comando en la sección 'OpenAction' del documento para ejecutar comandos de PowerShell para actividades maliciosas, explican los investigadores de la empresa de ciberseguridad Minerva Labs.


Según un informe de esta semana, la lista ha crecido para incluir 30 archivos DLL de productos de seguridad de varios proveedores. Entre los más populares entre los consumidores se encuentran Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft.

La consulta del sistema se realiza con 'libcef.dll', una biblioteca de enlaces dinámicos de Chromium Embedded Framework (CEF) utilizada por una amplia variedad de programas.

Si bien la DLL de Chromium viene con una breve lista de componentes que se incluirán en la lista negra porque causan conflictos, los proveedores que la utilizan pueden realizar modificaciones y agregar cualquier DLL que deseen.


Lista de archivos DLL codificados de Chromium , fuente: Minerva Labs

Los investigadores explican que "libcef.dll se carga mediante dos procesos de Adobe: AcroCEF.exe y RdrCEF.exe", por lo que ambos productos verifican el sistema en busca de componentes de los mismos productos de seguridad.

Mirando más de cerca lo que sucede con las DLL inyectadas en los procesos de Adobe, Minerva Labs descubrió que Adobe verifica si el  valor de bBlockDllInjection  en la clave de registro ' SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\ ' está configurado en 1. Si es así, lo hará evitar que las DLL del software antivirus se inyecten en los procesos.

Cabe señalar que el valor de la clave de registro cuando se ejecuta Adobe Reader por primera vez es '0' y que se puede modificar en cualquier momento.


Según la investigadora de Minerva Labs, Natalie Zargarov, el valor predeterminado para la clave de registro se establece en '1', lo que indica un bloqueo activo. Esta configuración puede depender del sistema operativo o de la versión de Adobe Acrobat instalada, así como de otras variables en el sistema.

En una  publicación en los foros de Citrix  el 28 de marzo, un usuario que se quejaba de los errores de Sophos AV debido a que tenía instalado un producto de Adobe dijo que la empresa “sugirió desactivar la inyección de DLL para Acrobat y Reader.


Adobe responde al usuario de Citrix que experimenta errores en la máquina con Sophos AV

Trabajando en el problema

En respuesta a BleepingComputer, Adobe confirmó que los usuarios han informado que experimentan problemas debido a que los componentes DLL de algunos productos de seguridad son incompatibles con el uso de la biblioteca CEF de Adobe Acrobat.


La compañía agregó que actualmente está trabajando con estos proveedores para abordar el problema y "para garantizar la funcionalidad adecuada con el diseño de espacio aislado CEF de Acrobat en el futuro".

Los investigadores de Minerva Labs argumentan que Adobe eligió una solución que resuelve los problemas de compatibilidad pero presenta un riesgo de ataque real al evitar que el software de seguridad proteja el sistema.

BleepingComputer se ha puesto en contacto con Adobe con más preguntas para explicar las condiciones en las que se produce el bloqueo de DLL y actualizará el artículo una vez que tengamos la información.

Fuente: You are not allowed to view links. Register or Login