安全研究人員發現,Adobe Acrobat 正嘗試阻止安全軟體查看其打開的 PDF 文件,這可能會給用戶帶來安全風險。Adobe 旗下產品正對市面上主流的 30 款安全產品進行檢查,一旦在進程中檢測到這些安全產品的組件就會嘗試阻止,這也意味著 Adobe 阻止安全產品監視惡意活動。
PDF 文件過去曾被濫用於在系統上執行惡意軟體。網路安全公司 Minerva Labs 的研究人員解釋說,一種方法是在文檔的「OpenAction」部分添加一個命令來運行 PowerShell 命令以進行惡意活動。
Minerva Labs 表示:「自 2022 年 3 月以來,我們看到 Adobe Acrobat Reader 進程逐漸增加,試圖通過獲取 DLL 的句柄來查詢載入了哪些安全產品 DLL」。
根據本周的一份報告,該列表已經增長到包括來自不同供應商的安全產品的 30 個 DLL。較受消費者歡迎的有 Bitdefender、Avast、趨勢科技、賽門鐵克、Malwarebytes、ESET、卡巴斯基、F-Secure、Sophos、EMSIsoft。
列表如下:
Trend Micro
BitDefender
AVAST
F-Secure
McAfee
360 Security
Citrix
Symantec
Morphisec
Malwarebytes
Checkpoint
Ahnlab
Cylance
Sophos
CyberArk
Citrix
BullGuard
Panda Security
Fortinet
Emsisoft
ESET
K7 TotalSecurity
Kaspersky
AVG
CMC Internet Security
Samsung Smart Security ESCORT
Moon Secure
NOD32
PC Matic
SentryBay
查詢系統是通過「libcef.dll」完成的,這是一個被各種程序使用的 Chromium Embedded Framework (CEF) 動態鏈接庫。雖然 Chromium DLL 附帶一個簡短的組件列表,因為它們會導致衝突而被列入黑名單,但使用它的供應商可以進行修改並添加他們想要的任何 DLL。
研究人員解釋說,「libcef.dll 由兩個 Adobe 進程載入:AcroCEF.exe 和 RdrCEF.exe」,因此這兩種產品都在檢查系統中是否存在相同安全產品的組件。
仔細觀察注入 Adobe 進程的 DLL 會發生什麼,Minerva Labs 發現 Adobe 檢查註冊表項「SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\」下的 bBlockDllInjection 值是否設置為 1。如果是,它將防止防病毒軟體的 DLL 被注入進程。
根據 Minerva Labs 研究員 Natalie Zargarov 的說法,註冊表項的默認值設置為「1」——表示主動阻止。此設置可能取決於操作系統或安裝的 Adobe Acrobat 版本,以及系統上的其他變數。
Adobe 在回復 BleepingComputer 時確認,用戶報告了由於某些安全產品的 DLL 組件與 Adobe Acrobat 對 CEF 庫的使用不兼容而導致的問題。
Adobe 表示:「我們知道有報告稱安全工具中的某些 DLL 與 Adobe Acrobat 對 CEF 的使用不兼容,CEF 是一種基於 Chromium 的引擎,具有受限的沙盒設計,並可能導致穩定性問題」。
該公司補充說,它目前正在與這些供應商合作解決這個問題,並「確保未來 Acrobat 的 CEF 沙盒設計具有正確的功能。」Minerva Labs 研究人員認為,Adobe 選擇的解決方案可以解決兼容性問題,但通過阻止安全軟體保護系統而引入真正的攻擊風險。
