Adobe Acrobat Reader вмешивается в работу антивирусных библиотек

Эксперты предупреждают о риске кибератак через популярный PDF-просмотрщик.

Исследователи Minerva сообщили, что Adobe Acrobat Reader пытается помешать работе антивирусного ПО. Эксперты обнаружили в коде продукта список из 30 DLL-библиотек, которые автоматически блокируются при открытии PDF-файлов. Как оказалось, это рабочие компоненты продуктов безопасности, включая решения Kaspersky, ESET, Fortinet, Trend Micro, Checkpoint и многих других мировых производителей.

В чем состоит угроза

Речь о DLL-библиотеках, которые обеспечивают средствам безопасности контроль над внутренними процессами в программных продуктах. Защитные системы внедряют эти библиотеки в запускаемые программы – этот процесс называется DLL-инъекцией. Именно этому и пытается помешать Adobe Acrobat.

По словам специалистов Minerva, последствия могут быть «катастрофическими». По сути своей, это может открыть прямой доступ к компьютеру жертвы.

«Действия процессов Adobe и их дочерних процессов будет намного сложнее отслеживать, как и определить их контекст, – рассуждают эксперты. – Злоумышленнику достаточно добавить код в раздел “OpenAction” файла PDF, который затем выполнить PowerShell-команду, загрузить и запустить вредоносное ПО. Все эти действия останутся вне поля зрения систем безопасности».

Как это работает

Acrobat Reader выполняет запросы с помощью libcef.dll, библиотеки Chromium Embedded Framework (CEF), которую используют многие программные продукты. Ее создатели предусмотрели возможность блокировать активность сторонних компонентов, чтобы ПО не вызывало конфликты. Разработчики, использующие libcef.dll в своих продуктах, могут изменять и дополнять этот черный список.

Именно так и поступили в Adobe, заблокировав активность ИБ-систем. В Acrobat Reader libcef.dll загружается двумя процессами: AcroCEF.exe и RdrCEF.exe. Оба сервиса проверяют систему на наличие компонентов одних и тех же продуктов безопасности.

Эксперты обнаружили, что Adobe проверяет значение bBlockDllInjection в разделе реестра SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\ – эта строка и отвечает за возможность DLL-инъекций. При первом запуске Adobe Reader ее значение равно «0», однако поменять его может пользователь с любыми правами. Если в реестре стоит значение «1», программа блокирует активность сторонних библиотек.

Причины и последствия

По словам исследователей, ситуация выглядит так подозрительно, что они даже решили, что Adobe сама стала жертвой киберпреступников. В последние годы атаки через цепочки поставок стали приметой времени. Чтобы добраться до крупных корпораций, злоумышленники встраивают вредоносный код в ПО, которое те используют, взламывают поставщиков ИТ-услуг и так далее.

«[Блокировка систем безопасности – это] стандартное поведение вредоносных программ, чтобы остаться вне поля зрения и начать атаку, когда взломщики уверены, что их не поймают, – уточняют эксперты Minerva. – Самые разрушительные атаки начинаются со сканирования среды, чтобы убедиться в возможности прочно закрепиться в сети».

Однако дальнейшие разбирательства позволили предположить, что реальная причина – в попытках разработчиков справиться с конфликтами совместимости. По информации интернет-издания Bleeping Computer, еще в марте некий пользователь рассказал на форуме Citrix, как Adobe рекомендовала ему отключить DLL-инъекции, чтобы решить проблемы с ПО Sophos.

«Это яркий пример того, как крупная компания с многомиллионной базой установок предпочитает удобство безопасности, – заключают исследователи. – По сути, их продукт демонстрирует активность подобно вредоносному ПО. Это легитимизирует подозрительное поведение и создает “шум”, мешающий отличить злоумышленников от компаний, которые не слишком стараются, чтобы их продукт не выглядел вредоносным. Если такая практика станет массовым, зловредным программам станет очень просто определять, находятся ли они в такой среде, где могут быть обнаружены».

Журналисты обратились к Adobe за комментарием, и компания подтвердила, что пользователи сообщали о проблемах совместимости DLL-компонентов некоторых продуктов безопасности с Adobe Acrobat.

Компания добавила, что она работает с поставщиками антивирусного ПО, чтобы обеспечить надлежащую функциональностю Acrobat CEF.

Насколько опасны вредоносные PDF

PDF как средство доставки зловредной нагрузки применяется реже, чем файлы из пакета Office. С другой стороны, именно этот факт может сыграть с жертвами злую шутку – ожидая подвоха от Word-вложения, пользователь может быть менее бдительным, открывая PDF. При этом, как говорилось выше, технические возможности формата позволяют выполнять вредоносный код, тем самым выполняя задачи злоумышленников.

Один из недавних примеров реальных атак через PDF связан с кейлоггером Snake. В мае 2022 об этой кампании сообщили эксперты ИБ-подразделения HP. Случаи заражений попали в их поле зрения двумя месяцами ранее.

Организаторы атак составили многоступенчатую цепочку, чтобы доставить зловред в целевую систему. Жертвы получали зараженные PDF под видом счетов к оплате. При открытии пользователям предлагалось открыть встроенный Word-документ. Название этого вредоносного объекта было сформулировано таким образом, чтобы выглядеть частью легитимного уведомления Adobe Acrobat Reader.

На следующем этапе жертву просили отключить защищенный режим. Если пользователь выполнял это действие, на его компьютер догружался RTF-файл, который применял RCE-уязвимость почти 20-летней давности. Речь идет о CVE-2017-11882, которая содержится в редакторе формул Office Equation Editor. Он может обращаться к сторонним объектам через протокол связывания и внедрения (Object Linking and Embedding, OLE), позволяя злоумышленникам выполнять сторонний код на пользовательской машине.

В результате на компьютер попадал зловред Snake, способный отслеживать нажатия клавиш, воровать логины и пароли, данные платежных карт и прочую ценную информацию.

На этом фоне легитимная возможность Adobe Acrobat Reader блокировать антивирусную активность даже без ведома пользователя приобретает еще большую угрозу. На данный момент экспертному сообществу остается ждать, пока разработчики найдут компромиссное решение для проблем совместимости, которые заставили их пойти на такие шаги.