Adobe Acrobat blockiert Zugriff von Antivirensoftware auf PDF-Dateien

Adobe Reader: PDF-bomb (Bild: ZDNet.de)

Forscher warnen vor möglichen Sicherheitsrisiken. Adobe begründet das Vorgehen mit Kompatibilitätsproblemen.

Sicherheitsforscher von Minerva Labs haben festgestellt, dass Adobes PDF-Anwendung Acrobat unter bestimmten Umständen Prozesse von namhaften Antivirenprodukten blockiert. Das Unternehmen begründet den Schritt mit Kompatibilitätsproblemen. Minerva Labs verweist indes auf mögliche Sicherheitsrisiken für Nutzer, da diesen Vorgehen verhindert, dass die fraglichen Anwendungen PDF-Dateien auf mögliche schädliche Inhalte prüfen.

Im Mittelpunkt der Diskussion steht eine Chromium-DLL, die auch von anderen bekannten Anwendungen genutzt wird. Sie enthält ab Werk eine Liste mit DLLs von Drittanbietern, die aufgrund bekannter Konflikte blockiert werden. Allerdings lässt sich diese Liste beliebig erweitern. Die von Adobe eingesetzte Version von Libcef.dll enthält demnach unter anderem Einträge für Anwendungen von Trend Micro, Bitdefender, Avast, F-Secure, McAfee, Citrix, Symantec, Malwarebytes, Checkpoint, Sophos, CyberArk, Fortinet, Emisoft, Eset, Kaspersky und AVG.

Laut den Forschern wird die fragliche DLL-Datei von den Adobe-Prozessen AcroCEF.exe und RdrCEF.exe geladen. Beide sind für Aufgaben wie Interaktionen mit einem Netzwerk sowie Dokumenten-Clouddienste verantwortlich. Ob die Prozesse die in der DLL-Datei hinterlegten Anwendungen blockieren hänge wiederum von einem Registrierungsschlüssel ab, der bei jedem Start von Acrobat neu gesetzt werde.

Vorgehen Adobes ähnelt Angriff auf die Lieferkette

In der Regel habe der Schlüssel den Wert „0“, was nicht zu einer Blockierung der Anwendungen führe, so die Forscher weiter. „In anderen, seltenen Fällen wird er jedoch auf „1“ gesetzt. Wir gehen davon aus, dass der Standardwert von der Endpunktumgebung, der Version von Acrobat und anderen lokalen Umgebungseigenschaften beeinflusst wird.“

„Wenn Adobe die Injektion von Sicherheitsmodulen in die DLL blockiert, könnte dies katastrophale Folgen haben. Es wäre für einen Bedrohungsakteur ein Leichtes, einen Befehl in den ‚OpenAction‘-Abschnitt eines PDF-Dokuments einzufügen, der dann PowerShell ausführen kann, wodurch beispielsweise die nächste Stufe einer Malware heruntergeladen und reflexartig ausgeführt werden könnte. Jede dieser Aktionen würde nicht erkannt werden, wenn die Sicherheitsprodukt-Hooks fehlen“, warnten die Forscher.

In ihrem Blogeintrag vergleichen sie Adobes Vorgehen sogar mit einem Angriff auf die Lieferkette. Allerdings unterstellen sie Adobe keine böse Absichten – ab Nachlässigkeit. „Es hat den Anschein, dass Adobe einen Ansatz gewählt hat, der zwar ein unmittelbares Kompatibilitätsproblem löst, aber aus der Sicht der Sicherheit neue Probleme schaffen könnte. Anstatt Kompatibilitätsprobleme direkt mit der Sicherheitssoftware zu lösen, wird unserer Meinung nach versucht, diese Probleme dadurch zu lösen, dass die störende Software einfach daran gehindert wird, den Prozess zu beeinflussen, selbst wenn es sich um einen Sicherheitsprozess handelt, der das System vor bösartigen Angriffen schützen soll.“