Du kommst hier nicht rein: Adobes PDF-Tools blockieren Virenschutz

Adobe Acrobat blockiert die DLL-Injektionen von Antivirensoftware und ist für die Schutzprogramme damit unsichtbar – das fand die israelische Sicherheitsfirma Minerva Labs heraus. Minerva untersuchte seit März Prozesse des Adobe Acrobat Reader, die die DLL-Handles von Sicherheitsprodukten abfragen.

Die Abfragen kommen aus der libcef.dll, einer verbreiteten Chromium Embedded Framework (CEF) Dynamic Link Library (DLL). Bei Adobe Acrobat und Reader enthält libcef.dll laut Minerva eine Blacklist von Sicherheitsprodukt-DLLs, die über das Aktivieren eines Registry-Keys dann aus dem PDF-Reader ausgesperrt würden. Ob ein PDF Schadcode ausführt, kann die Schutzsoftware ohne einen Blick in Acrobat so nicht überprüfen.

So funktioniert der DLL-Türsteher

Die Chromium DLL beinhaltet von Haus aus eine Liste mit DLLs, die problematisch oder gefährlich sind, oder dafür bekannt, Konflikte auszulösen; Anwender von libcef.dll können diese Liste für ihre Zwecke erweitern. Die von Minerva untersuchte DLL-Liste der Reader enthielt laut Sicherheitsfirma eine bestimmte, festgeschriebene Anzahl an Security-DLLs (siehe Tabelle). Bei Adobe laden zwei Prozesse diese Liste: AcroCEF.exe und RdrCEF.exe. Diese Prozesse verwalten etwa Netzwerkinteraktionen oder Cloud-Funktionen wie Ausfüllen und Versenden oder die Anfrage von Unterschriften. Laut Minerva Labs fragen beide Prozesse die Security-DLLs ab.

Anbieter-DLLs in der Adobe Acrobat libcef.dll-Blacklist
Trend Micro	Citrix	Cylance	Fortinet	CMC Internet Security
BitDefender	Symantec	Sophos	Emsisoft	Samsung Smart Security ESCORT
AVAST	Morphisec	CyberArk	ESET	Moon Secure
F-Secure	Malwarebytes	Citrix	K7 TotalSecurity	NOD32
McAfee	Checkpoint	BullGuard	Kaspersky	PC Matic
360 Security	Ahnlab	Panda Security	AVG	SentryBay
Quelle: Minerva Labs

Als Ausgangspunkt für das Blockieren sieht Minerva die Registry. Beim ersten Ausführen erstelle Adobe Reader den Key bBlockDllInjection unter HKEY_CURRENT_USER. Standardmäßig habe der Key den Status 0, in seltenen Fällen sei er auf 1 gesetzt. Minerva vermutet, dass dies von der Systemumgebung abhängig ist. Einmal aktiviert, sorgt der Key für das Überprüfen der in libcef.dll festgelegten Liste. Minerva vermutet anhand des Namens des Registry-Keys und der CEF-Doku, dass ein aktivierter Key dazu führt, dass libcef.dll die Security-DLLs aus dem Speicher entfernt.

Im Zuge der Untersuchung stieß Minerva auf einen Citrix-Blogpost, in dem ein Nutzer Probleme mit Adobe Reader, Citrix und Sophos beschreibt. Als Lösung habe Adobe dem Nutzer empfohlen, die DLL-Injektion für Acrobat und den Reader abzustellen. Minerva will anschließend bei Adobe nachgehakt haben: Dort nannte man Kompatibilitätsprobleme mit dem verwendeten CEF als Ursache.

Stabilität versus Sicherheit

Das Blockieren der DLL-Injektionen sieht Minerva als potenziell katastrophal. Ohne die DLLs seien die Sicherheitsprodukte blind gegenüber dem, was innerhalb der Reader ablaufe. Ein Angreifer könne damit beim Öffnen des PDFs Schadcode ausführen, der sich dann Zugriff auf die PowerShell verschaffen könne, um das System zu infizieren. Erst zuletzt patchte Adobe kritische Sicherheitslücken in einigen Produkten, die Angreifern eine Einfallpforte geboten haben. Das Absichern gegen bestimmte DLLs ist jedoch generell sinnvoll, da Angreifer von dort ebenfalls Malware initiieren können. Ein Workaround, bei dem Nutzer ihre PDFs online scannen, um sie dann ohne DLL-Injektion zu öffnen, ist nicht empfehlenswert. Die Dokumente sind dann für Sicherheitsfirmen und deren Partner öffentlich zugänglich. Damit geben Nutzer vertrauliche Daten unbewusst frei.

Der Originalbericht von Minerva Labs findet sich im Blog des Unternehmens. Der oben erwähnte Blog-Eintrag bei Citrix finde sich hier.

(pst)