اخلاء مسؤولية | DISCLAIMER
وجد باحثو الأمن أن Adobe Acrobat يحاول منع برامج الأمان من رؤية ملفات PDF التي يفتحها ، مما يخلق خطرًا أمنيًا على المستخدمين.
يقوم منتج Adobe بفحص ما إذا تم تحميل مكونات من 30 منتج أمان في عملياته ومن المحتمل أن يحظرها ، مما يحرمها بشكل أساسي من المراقبة بحثًا عن أي نشاط ضار.
الإبلاغ عن ملفات AV غير متوافقة
لكي تعمل أداة الأمان ، تحتاج إلى رؤية جميع العمليات على النظام ، والتي يتم تحقيقها عن طريق حقن مكتبات الارتباط الديناميكي (DLL) في منتجات البرامج التي يتم تشغيلها على الجهاز.
تم إساءة استخدام ملفات PDF في الماضي لتنفيذ برامج ضارة على النظام. تتمثل إحدى الطرق في إضافة أمر في قسم “OpenAction” من المستند لتشغيل أوامر PowerShell للنشاط الضار ، وشرح الباحثين في شركة الأمن السيبراني Minerva Labs.
“منذ آذار (مارس) 2022 ، شهدنا ارتفاعًا تدريجيًا في عمليات Adobe Acrobat Reader التي تحاول الاستعلام عن منتج الأمان الذي يتم تحميل DLLs فيه من خلال الحصول على مؤشر DLL” – Minerva Labs
وفقًا لتقرير صدر هذا الأسبوع ، نمت القائمة لتشمل 30 ملف DLL من منتجات الأمان من مختلف البائعين. من بين أكثرها شعبية لدى المستهلكين Bitdefender و Avast و Trend Micro و Symantec و Malwarebytes و ESET و Kaspersky و F-Secure و Sophos و Emsisoft.
يتم الاستعلام عن النظام باستخدام “libcef.dll” ، مكتبة الارتباط الديناميكي لـ Chromium Embedded Framework (CEF) المستخدمة بواسطة مجموعة متنوعة من البرامج.
بينما يأتي Chromium DLL مع قائمة مختصرة من المكونات التي سيتم إدراجها في القائمة السوداء لأنها تسبب تعارضات ، يمكن للبائعين الذين يستخدمونها إجراء تعديلات وإضافة أي DLL يريدون.
يوضح الباحثون أن “libcef.dll يتم تحميله بواسطة عمليتين من Adobe: AcroCEF.exe و RdrCEF.exe” لذا يقوم كلا المنتجين بفحص النظام بحثًا عن مكونات منتجات الأمان نفسها.
بالنظر عن كثب إلى ما يحدث مع DLLs التي تم حقنها في عمليات Adobe ، وجدت Minerva Labs أن Adobe تتحقق مما إذا كانت قيمة bBlockDllInjection ضمن مفتاح التسجيل “SOFTWARE \ Adobe \ Adobe Acrobat \ DC \ DLLInjection \” مضبوطة على 1. إذا كان الأمر كذلك ، فسيتم تعيينها. منع حقن ملفات DLL الخاصة ببرامج مكافحة الفيروسات في العمليات.
من الجدير بالذكر أن قيمة مفتاح التسجيل عند تشغيل Adobe Reader للمرة الأولى هي “0” وأنه يمكن تعديله في أي وقت.
“باستخدام اسم مفتاح التسجيل dBlockDllInjection ، وبالنظر إلى وثائق cef ، يمكننا أن نفترض أن مكتبات DLL المدرجة في القائمة السوداء مخصصة ليتم تفريغها” – Minerva Labs
وفقًا للباحثة في Minerva Labs Natalie Zargarov ، تم تعيين القيمة الافتراضية لمفتاح التسجيل على “1” – مما يشير إلى الحظر النشط. قد يعتمد هذا الإعداد على نظام التشغيل أو إصدار Adobe Acrobat المثبت ، بالإضافة إلى متغيرات أخرى في النظام.
في منشور على منتديات Citrix في 28 مارس ، قال مستخدم يشكو من أخطاء Sophos AV بسبب تثبيت أحد منتجات Adobe أن الشركة “اقترحت تعطيل حقن DLL في Acrobat و Reader.
العمل على المشكلة
ردًا على BleepingComputer ، أكدت Adobe أن المستخدمين أبلغوا عن مواجهة مشكلة بسبب مكونات DLL من بعض منتجات الأمان التي لا تتوافق مع استخدام Adobe Acrobat لمكتبة CEF.
“نحن على علم بالتقارير التي تفيد بأن بعض ملفات DLL من أدوات الأمان غير متوافقة مع استخدام Adobe Acrobat لـ CEF ، وهو محرك يستند إلى Chromium مع تصميم وضع الحماية المقيد ، وقد يتسبب في حدوث مشكلات في الاستقرار” – Adobe
وأضافت الشركة أنها تعمل حاليًا مع هؤلاء البائعين لمعالجة المشكلة و “لضمان الأداء الوظيفي المناسب مع تصميم وضع الحماية CEF من Acrobat للمضي قدمًا.”
يجادل باحثو Minerva Labs بأن Adobe اختارت حلاً يحل مشكلات التوافق ولكنه يقدم خطر هجوم حقيقي من خلال منع برامج الأمان من حماية النظام.
اتصل BleepingComputer بشركة Adobe لطرح المزيد من الأسئلة لشرح شروط حدوث حظر DLL وسوف يقوم بتحديث المقالة بمجرد حصولنا على المعلومات.