Adobe Acrobat の問題:アンチ・ウィルス製品による PDF ファイル・モニタリングをブロック?

Adobe Acrobat may block antivirus tools from monitoring PDF files

2022/06/21 BleepingComputer — セキュリティ研究者たちは、Adobe Acrobat がアンチウィルス・ソフトウェアをブロックし、PDF ファイルをオープンする際の、セキュリティ的な可視化を拒否していることを発見し、ユーザーにリスクを生じさせることを明らかにした。Adobe の製品は、30 種類のセキュリティ製品のコンポーネントの、プロセスへのロードの有無をチェックしており、また、それらをブロックすることで、悪意のアクティビティ監視を本質的に拒否している。

互換性のない AV のフラグ立て

セキュリティ・ツールが機能するためには、システム上の全プロセスを可視化する必要がある。それは、マシン上で起動するソフトウェア製品に、DLL をインジェクトすることで実現する。その一方では、過去において PDF ファイルを悪用し、システム上でマルウェアを実行させるという事例があった。


サイバー・セキュリティ企業 Minerva Labs の研究者たちは、「文書の OpenAction セクションにコマンドを追加し、悪意のアクティビティのための PowerShell コマンドを実行する方法がある。2022年3月以降において、Adobe Acrobat Reader のプロセスが、DLL のハンドルを取得することで、稼働中のセキュリティ製品の DLL について問い合わせようとする現象が、徐々に増加している」と説明している。

今週の報告によると、この Adobe のリストは、さまざまなベンダーにおけるセキュリティ製品の、30個の DLL を含むまでに成長した。その中でも、コンシュマーに好まれる製品として、Bitdefender/Avast/ Trend Micro/Symantec/Malwarebytes/ESET/Kaspersky/F-Secure/Sophos/Emsisoft などがあるそうだ。

システムへの問い合わせを行うのは、さまざまなプログラムで使用される Chromium Embedded Framework (CEF) Dynamic Link Library [libcef.dll] である。Chromium の DLL には、ブラックリストに追加するコンポーネントに関する短いリストが付属しているが、これを使用するベンダーは、修正を加えて任意の DLL を追加することが可能だ。

Chromium’s list of hardcoded DLLssource: Minerva Labs

研究者たちは、「AcroCEF.exe と RdrCEF.exe という、2つの Adobe プロセスにより libcef.dll はロードされる。したがって、両方の製品は、同じセキュリティ製品のコンポーネントのために、システムをチェックしている」と説明している。Adobe のプロセスに注入された DLL について詳しく見てみると、レジストリキー SOFTWAREAdobeAdobe Acrobat の bBlockDllInjection の値が1に設定されているかどうかを確認している。

この値が1であれば、ウイルス対策ソフトウェアの DLL が、プロセスに注入されるのを防ぐことができることが分かった。なお、Adobe Reader を初めて起動したときのレジストリキーの値は 0であり、いつでも変更が可能だ。Minerva Labs は、「レジストリキー名 dBlockDllInjection と、cef に関する Chromium のドキュメントを見ると、ブラックリストに載っている DLL はアンロードされると推測できる」と述べている。

Minerva Labs の研究者である Natalie Zargarov によると、レジストリキーのデフォルト値は 1に設定されており、アクティブなブロックを示しているとのことだ。この設定は、OS のバージョンおよび、インストールされている Acrobat のバージョンや、システム上の他の変数に依存する可能性があるようだ。

3月28日の Citrix forums への投稿では、Adobe 製品をインストールしたことによる、Sophos AV のエラーを訴えるユーザーから、「Acrobat と Reader の DLL-injection を無効にするよう提案された」と述べられている。

問題解決の最中

Adobe から BleepingComputer への返信では、一部のセキュリティ製品の DLL コンポーネントと、Adobe Acrobat の CEF ライブラリとの互換性の問題が発生したという、ユーザーからの報告を確認したそうだ。

Adobe は、「セキュリティ・ツールの一部の DLL と、Adobe Acrobat での CEF の使用法と互換性がなく、制限付きサンドボックスのための Chromium ベース・エンジンで問題が生じ、不安定な動作を引き起こすという報告を認識している」と述べている。現時点において同社は、これらのベンダーと協力して問題に対処しており、「今後は、Acrobat の CEF サンドボックス設計で適切な機能を確保する」と付け加えている。

Minerva Labs の研究者たちは、Adobe は互換性の問題を解決するソリューションを選択したが、セキュリティ・ソフトウェアによるシステム保護が妨げられることで、実際の攻撃リスクを引き込んでいると主張している。BleepingComputer は、DLL ブロックが発生する条件を説明するために、さらなる質問を Adobe に行い、情報が入り次第、この記事を更新する予定である。

なんというか、ややこしい話ですが、PDF に埋め込まれたマルウェアをチェックするアンチ・ウィルスを、Adobe 側で選別するという考え方が、同社にはあるようです。ただ、そのための仕組みが正常に機能したとして、なんのメリットが有るのかが、ちょっと分かりません。ひょっとすると、誤検知ばかりするアンチ・ウィルスがあったのかもしれませんが、そうだとしても、他に手段があるはずだと思います。PDF や Office のファイルが、格好のマルウェア侵入ルートになっている状況を考えると、やはり Adobe の見当違いなのだろうと感じてしまいます。よろしければ、関連情報としての「検索エンジン・ポイズニングという手口に ご用心 」を、ご参照ください。

%d bloggers like this: