Adobe Acrobat Reader block antivirus tools ไม่ให้สแกนเอกสาร PDF
Adobe กำลัง Block antivirus tools หลายตัวไม่ให้สแกนเอกสาร PDF ที่โหลดผ่าน Adobe Acrobat Reader ตามรายงานความปลอดภัยที่เผยแพร่โดย Minerva Labs
พบเหตุการณ์ Adobe Block security products ประมาณ 30 รายการไม่ให้สแกนเอกสาร PDF ที่โหลดผ่าน Adobe Acrobat Reader โดยผลิตภัณฑ์จาก Trend Micro, McAfee, Symantec, ESET, Kaspersky, Malwarebytes, Avast, BitDefender และ Sophos ถูก Block ตามในรายงาน ยกเว้น Microsoft Defender ที่ไม่ถูก Block
รายชื่อบริษัทและผลิตภัณฑ์ที่ได้รับผลกระทบ:
Trend Micro, BitDefender, AVAST, F-Secure, McAfee, 360 Security, Citrix, Symantec, Morphisec, Malwarebytes, Checkpoint, Ahnlab, Cylance, Sophos, CyberArk, Citrix, BullGuard, Panda Security, Fortinet, Emsisoft, ESET, K7 TotalSecurity, Kaspersky, AVG, CMC Internet Security, Samsung Smart Security ESCORT, Moon Secure, NOD32, PC Matic, SentryBay
ผลิตภัณฑ์ที่ถูก Block จะไม่สามารถเข้าถึงเพื่อตรวจสอบไฟล์ PDF ที่ถูกเปิดขึ้นมาได้ ซึ่งหมายความว่าก็จะไม่สามารถตรวจพบ หรือหยุดโค้ดที่เป็นอันตรายได้เช่นเดียวกัน
Adobe Acrobat ใช้ Chromium Embedded Framework (CEF) Dynamic Link Library, Libcef.dll ซึ่งใน Chromium component จะมีการทำ blacklist เพื่อป้องกันปัญหากับไฟล์ DLL ดังนั้น Adobe จึงสามารถแก้ไข blacklist ได้ และดูเหมือนว่า Adobe จะทำการแก้ไข blacklist เพื่อเพิ่มไฟล์ DLL ของ security products ต่างๆเข้าไป
Minerva Labs ตั้งข้อสังเกตว่าผลลัพธ์ของเหตุการณ์นี้อาจมีผลเสียร้ายแรงได้ เนื่องจากความสามารถในการตรวจจับที่ลดลงของกระบวนการตรวจจับ และป้องกันของ antivirus tools ซึ่งจะไม่สามารถตรวจสอบ process หลัก หรือ child process ที่ถูกสร้างขึ้นได้
ผู้โจมตีสามารถเพิ่มคำสั่งในส่วน 'OpenAction' ของ pdf ซึ่งสามารถเรียกใช้ PowerShell เพื่อดาวน์โหลดมัลแวร์ และเรียกใช้งาน ซึ่งพฤติกรรมเหล่านี้จะไม่ถูกตรวจพบหากการตรวจสอบจาก security products ไม่สามารถทำงานได้
Minerva Labs ติดต่อ Adobe เพื่อสอบถามสาเหตุที่ Adobe Acrobat Block security products, โดย Adobe ตอบว่า “สาเหตุดังกล่าวเกิดจากความไม่เสถียรจากการที่ Adobe Acrobat มีการใช้งาน Chromium Embedded Framework (CEF) กับระบบ sandbox”
Minerva Labs ระบุว่า "Adobe จึงเลือกแก้ไขปัญหาความไม่เสถียรโดยการบล็อก process ของซอฟแวร์ด้านความความปลอดภัยแทน โดย Adobe เลือกความสะดวกมากกว่าพยายามเพื่อแก้ไขปัญหาอย่างถาวร"
Bleeping Computer ได้รับคำตอบที่คล้ายกัน โดย Adobe ยืนยันว่ากำลังทำงานร่วมกับ security products ต่างๆ เพื่อแก้ไขปัญหาดังกล่าว
ที่มา : ghacks.net bleepingcomputer
You must be logged in to post a comment.