Adobe Acrobat blockiert Zugriff von Antivirensoftware auf PDF-Dateien

Sicherheitsforscher von Minerva Labs haben festgestellt, dass Adobes PDF-Anwendung Acrobat unter bestimmten Umständen Prozesse von namhaften Antivirenprodukten blockiert. Das Unternehmen begründet den Schritt mit Kompatibilitätsproblemen. Minerva Labs verweist indes auf mögliche Sicherheitsrisiken für Nutzer, da diesen Vorgehen verhindert, dass die fraglichen Anwendungen PDF-Dateien auf mögliche schädliche Inhalte prüfen.

Im Mittelpunkt der Diskussion steht eine Chromium-DLL, die auch von anderen bekannten Anwendungen genutzt wird. Sie enthält ab Werk eine Liste mit DLLs von Drittanbietern, die aufgrund bekannter Konflikte blockiert werden. Allerdings lässt sich diese Liste beliebig erweitern. Die von Adobe eingesetzte Version von Libcef.dll enthält demnach unter anderem Einträge für Anwendungen von Trend Micro, Bitdefender, Avast, F-Secure, McAfee, Citrix, Symantec, Malwarebytes, Checkpoint, Sophos, CyberArk, Fortinet, Emisoft, Eset, Kaspersky und AVG.

Laut den Forschern wird die fragliche DLL-Datei von den Adobe-Prozessen AcroCEF.exe und RdrCEF.exe geladen. Beide sind für Aufgaben wie Interaktionen mit einem Netzwerk sowie Dokumenten-Clouddienste verantwortlich. Ob die Prozesse die in der DLL-Datei hinterlegten Anwendungen blockieren hänge wiederum von einem Registrierungsschlüssel ab, der bei jedem Start von Acrobat neu gesetzt werde.

Vorgehen Adobes ähnelt Angriff auf die Lieferkette

In der Regel habe der Schlüssel den Wert „0“, was nicht zu einer Blockierung der Anwendungen führe, so die Forscher weiter. „In anderen, seltenen Fällen wird er jedoch auf „1“ gesetzt. Wir gehen davon aus, dass der Standardwert von der Endpunktumgebung, der Version von Acrobat und anderen lokalen Umgebungseigenschaften beeinflusst wird.“

„Wenn Adobe die Injektion von Sicherheitsmodulen in die DLL blockiert, könnte dies katastrophale Folgen haben. Es wäre für einen Bedrohungsakteur ein Leichtes, einen Befehl in den ‚OpenAction‘-Abschnitt eines PDF-Dokuments einzufügen, der dann PowerShell ausführen kann, wodurch beispielsweise die nächste Stufe einer Malware heruntergeladen und reflexartig ausgeführt werden könnte. Jede dieser Aktionen würde nicht erkannt werden, wenn die Sicherheitsprodukt-Hooks fehlen“, warnten die Forscher.

In ihrem Blogeintrag vergleichen sie Adobes Vorgehen sogar mit einem Angriff auf die Lieferkette. Allerdings unterstellen sie Adobe keine böse Absichten – ab Nachlässigkeit. „Es hat den Anschein, dass Adobe einen Ansatz gewählt hat, der zwar ein unmittelbares Kompatibilitätsproblem löst, aber aus der Sicht der Sicherheit neue Probleme schaffen könnte. Anstatt Kompatibilitätsprobleme direkt mit der Sicherheitssoftware zu lösen, wird unserer Meinung nach versucht, diese Probleme dadurch zu lösen, dass die störende Software einfach daran gehindert wird, den Prozess zu beeinflussen, selbst wenn es sich um einen Sicherheitsprozess handelt, der das System vor bösartigen Angriffen schützen soll.“

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Sophos: Automotive-Lieferant wird dreimal Opfer von Cybererpressern

Innerhalb von rund zwei Wochen kompromittieren die Gruppen LockBit, Hive und BlackCat das Netzwerk. Anscheinend…

4 Stunden ago

Deutsche Telekom bleibt auf Kurs

Konzernumsatz klettert zwischen April und Juni um fast sechs Prozent auf rund 28 Milliarden Euro.

5 Stunden ago

Cisco meldet Hackerangriff

Unbekannte dringen in das Netzwerk des Unternehmens ein. Zuvor hacken sie das Google-Konto eines Cisco-Mitarbeiters…

6 Stunden ago

Im Blindflug in Richtung Nachhaltigkeit

Eine Mehrheit der deutschen Unternehmen will klimaneutral werden. Aber wie? Für eine Antwort fehlen ihnen…

20 Stunden ago

Unternehmen unterschätzen Cyberrisiken durch vernetzte Partner und Lieferanten

Firmen stufen Sicherheitsrisiken ihrer Partner in digitalen Ökosystemen und Lieferketten als wenig besorgniserregend ein.

21 Stunden ago

Silicon DE im Fokus Podcast: Microsoft und der Mittelstand

Im Silicon DE Podcast erläutert Oliver Gürtler, Leiter des Mittelstandsgeschäfts bei Microsoft Deutschland, im Gespräch…

23 Stunden ago