Adobe Acrobat bloquea los antivirus para controlar los archivos PDF

Adobe Acrobat bloquea los antivirus
Adobe Acrobat bloquea los antivirus

Investigadores de seguridad descubrieron que Adobe Acrobat está tratando de bloquear el software de seguridad para que no tenga visibilidad en los archivos PDF que abre, creando un riesgo de seguridad para los usuarios.

Adobe Acrobat está comprobando si los componentes de 30 productos de seguridad están cargados en sus procesos y probablemente los bloquea, negándoles esencialmente la supervisión de actividades maliciosas.

Marcar los antivirus incompatibles

Para que una herramienta de seguridad funcione en Adobe Acrobat, necesita tener visibilidad de todos los procesos del sistema.

Esto se consigue inyectando bibliotecas de enlaces dinámicos (DLL) en los productos de software que se lanzan en la máquina.

En el pasado se ha abusado de los archivos PDF para ejecutar malware en el sistema.

Uno de los métodos consiste en añadir un comando en la sección “OpenAction” del documento para ejecutar comandos PowerShell.

PowerShell permite realizar actividades maliciosas, explican los investigadores de la empresa de ciberseguridad Minerva Labs.

Según un informe de esta semana, la lista ha crecido hasta incluir 30 DLL de productos de seguridad de varios proveedores. Entre los más populares entre los consumidores están Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft.

La consulta del sistema se realiza con ‘libcef.dll’, una biblioteca de enlace dinámico de Chromium Embedded Framework (CEF) utilizada por una gran variedad de programas.

DLL de Chromium viene con una pequeña lista de componentes que deben incluirse en la lista negra porque causan conflictos.

Los proveedores que utilizan DLL de Chromium pueden hacer cambios y añadir cualquier DLL que deseen.

Adobe Acrobat bloquea los antivirus- Chromium DLL
Adobe Acrobat bloquea los antivirus- Chromium DLL 

Otros investigadores explican que “libcef.dll es cargado por dos procesos de Adobe: AcroCEF.exe y RdrCEF.exe”, por lo que ambos productos están comprobando el sistema en busca de componentes de los mismos productos de seguridad.

Analizando más de cerca lo que ocurre con las DLL inyectadas en los procesos de Adobe, Minerva Labs descubrió que Adobe comprueba si el valor bBlockDllInjection de la clave de registro ‘SOFTWARE\Adobe\DC\DLLInjection\’ está establecido en 1.

Si es así, impedirá que las DLL del software antivirus se inyecten en los procesos.

Software antivirus

Cabe destacar que el valor de la clave de registro cuando Adobe Reader se ejecuta por primera vez es ‘0’ y que puede modificarse en cualquier momento.

Según Natalie Zargarov, investigadora de Minerva Labs, el valor por defecto de la clave del registro es “1”, lo que indica un bloqueo activo. Esta configuración puede depender del sistema operativo o de la versión de Adobe Acrobat instalada, así como de otras variables del sistema.

Trabajando en el problema

En respuesta a Bleeping Computer, Adobe confirmó que los usuarios informaron que este problema se debía a un componente DLL en algunos productos de seguridad que era incompatible con el uso de la biblioteca Adobe Acrobat CEF.

La compañía añadió que actualmente está trabajando con estos proveedores para solucionar el problema y “para garantizar una funcionalidad adecuada con el diseño de la caja de arena CEF de Acrobat en el futuro.”

Los investigadores de Minerva Labs sostienen que Adobe Acrobat ligió una solución que resuelve los problemas de compatibilidad pero que introduce un riesgo real de ataque al impedir que el software de seguridad proteja el sistema.

BleepingComputer se ha puesto en contacto con Adobe Acrobat para que explique las condiciones en las que se produce el bloqueo de la DLL y actualizará el artículo una vez tengamos la información.

¿Tienes alguna consulta?

Mejora tu productividad y adquiere Adobe Acrobat Pro DC a buen precio en Licencias Directas.

Nuestro equipo de soporte te ayudará las 24/7.

Escríbenos un comentario o llámanos.

Un Saludo,

Tu equipo de LicenciasDirectas

Compartir en facebook
Facebook
Compartir en twitter
Twitter
Compartir en linkedin
LinkedIn
Compartir en whatsapp
WhatsApp
Compartir en telegram
Telegram
Compartir en email
Email

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Abrir chat