Adobeが開発するPDFファイル作成・編集ツールのAdobe AcrobatとPDF閲覧ツールのAcrobat Readerが、「開いたPDFに対するセキュリティソフトウェアの監視を防ごうとしている」ことがセキュリティ企業・Minerva Labsの研究者によって報告されました。PDFファイルに仕込まれた悪意のあるアクティビティが監視できなくなってしまうことにより、セキュリティ上のリスクが高まることが懸念されています。

Does Acrobat Reader Unload Injection of Security Products?

https://blog.minerva-labs.com/does-acrobat-reader-unload-injection-of-security-products

Adobe Acrobat may block antivirus tools from monitoring PDF files

https://www.bleepingcomputer.com/news/security/adobe-acrobat-may-block-antivirus-tools-from-monitoring-pdf-files/

セキュリティソフトウェアが正常に機能するためには、インストールされたシステム上のすべてのプロセスを監視できることが重要です。これは、システム上で起動するソフトウェア製品にダイナミックリンクライブラリ(DLL)を注入することで実現されています。

ところが、Minerva Labsの研究者は2022年6月20日のブログで「2022年3月以降、どのセキュリティ製品のDLLが読み込まれているかを照会しようとするAdobe Acrobat Readerのプロセスが徐々に増加しています」と報告しました。このクエリはChromium Embedded Framework(CEF)のDLLである「libcef.dll」によって発信され、トレンドマイクロ・BitDefender・Avast・マカフィー・シマンテック・Malwarebytes・ESET・カスペルスキーなど、30ものセキュリティソフトウェアのDLLを検出しているそうです。

libcef.dllはAcroCEF.exeとRdrCEF.exeという2つのAdobeプロセスで実行されており、Adobe AcrobatとAcrobat Readerの両方が同じセキュリティソフトをチェックしているとみられます。研究者がlibcef.dllについて調べたところ、これはブラックリストに登録されたセキュリティソフトウェアのDLLをアンロードして、PDFファイルの監視をブロックしていることがわかりました。



プロセスに対するセキュリティソフトウェアのDLL注入がブロックされる場合、プロセスの可視性が損なわれてセキュリティ上の問題を検出できなくなってしまうため、Minerva Labsはこの動作が「壊滅的な結果」をもたらす可能性があると警告しています。実際、これまでにPDFファイルを利用した攻撃手法が複数報告されており、PDFファイルの監視をブロックすることでセキュリティ上のリスクが高まる懸念があります。

Minerva Labsはこの現象はマルウェアにおいてよく見られる動作だったため、Adobe Acrobatがサプライチェーン攻撃を受けた可能性も想定していたとのこと。ところが、この件についてMinerva LabsがAdobeに問い合わせたところ、Adobeは「一部のセキュリティソフトウェアのDLLはAdobe Acrobatとの互換性に問題を抱えており、ソフトウェアの安定性が損なわれる可能性がある」ため、セキュリティソフトウェアのDLLをブロックしていると回答したそうです。

Minerva Labsは、「Adobeは互換性の問題を即座に解決するアプローチを選択しているようですが、セキュリティの観点から新しい問題を引き起こす可能性があります」「これは大企業が利便性を優先し、目の前の問題を実際に解決するのではなく、本質的にマルウェアのような動作をソフトウェアに挿入する典型的な事例です」と述べ、Adobeの対応を批判しています。

また、テクノロジー系メディアのBleeping ComputerがAdobeに問い合わせたところ、Adobeは互換性の問題でセキュリティソフトウェアのDLLをブロックしていることを認めた上で、ベンダーと協力して問題に対処し、今後はAdobe Acrobatで適切な機能を確保すると述べたとのことです。