安全研究人員發(fā)現(xiàn),Adobe Acrobat 正嘗試阻止安全軟件查看其打開的 PDF 文件�,這可能會給用戶帶來安全風險�。Adobe 旗下產(chǎn)品正對市面上主流的 30 款安全產(chǎn)品進行檢查,一旦在進程中檢測到這些安全產(chǎn)品的組件就會嘗試阻止���,這也意味著 Adobe 阻止安全產(chǎn)品監(jiān)視惡意活動����。
PDF 文件過去曾被濫用于在系統(tǒng)上執(zhí)行惡意軟件��。網(wǎng)絡(luò)安全公司 Minerva Labs 的研究人員解釋說�����,一種方法是在文檔的“OpenAction”部分添加一個命令來運行 PowerShell 命令以進行惡意活動���。
Minerva Labs 表示:“自 2022 年 3 月以來,我們看到 Adobe Acrobat Reader 進程逐漸增加��,試圖通過獲取 DLL 的句柄來查詢加載了哪些安全產(chǎn)品 DLL”��。
根據(jù)本周的一份報告����,該列表已經(jīng)增長到包括來自不同供應(yīng)商的安全產(chǎn)品的 30 個 DLL��。較受消費者歡迎的有 Bitdefender���、Avast���、趨勢科技�����、賽門鐵克�、Malwarebytes�、ESET��、卡巴斯基、F-Secure����、Sophos�、EMSIsoft�����。
列表如下:
Trend Micro
BitDefender
AVAST
F-Secure
McAfee
360 Security
Citrix
Symantec
Morphisec
Malwarebytes
Checkpoint
Ahnlab
Cylance
Sophos
CyberArk
Citrix
BullGuard
Panda Security
Fortinet
Emsisoft
ESET
K7 TotalSecurity
Kaspersky
AVG
CMC Internet Security
Samsung Smart Security ESCORT
Moon Secure
NOD32
PC Matic
SentryBay
查詢系統(tǒng)是通過“libcef.dll”完成的���,這是一個被各種程序使用的 Chromium Embedded Framework (CEF) 動態(tài)鏈接庫��。雖然 Chromium DLL 附帶一個簡短的組件列表���,因為它們會導致沖突而被列入黑名單,但使用它的供應(yīng)商可以進行修改并添加他們想要的任何 DLL�。
研究人員解釋說,“libcef.dll 由兩個 Adobe 進程加載:AcroCEF.exe 和 RdrCEF.exe”��,因此這兩種產(chǎn)品都在檢查系統(tǒng)中是否存在相同安全產(chǎn)品的組件����。
仔細觀察注入 Adobe 進程的 DLL 會發(fā)生什么���,Minerva Labs 發(fā)現(xiàn) Adobe 檢查注冊表項“SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\”下的 bBlockDllInjection 值是否設(shè)置為 1��。如果是���,它將防止防病毒軟件的 DLL 被注入進程�����。
根據(jù) Minerva Labs 研究員 Natalie Zargarov 的說法���,注冊表項的默認值設(shè)置為“1”——表示主動阻止。此設(shè)置可能取決于操作系統(tǒng)或安裝的 Adobe Acrobat 版本��,以及系統(tǒng)上的其他變量��。
Adobe 在回復 BleepingComputer 時確認���,用戶報告了由于某些安全產(chǎn)品的 DLL 組件與 Adobe Acrobat 對 CEF 庫的使用不兼容而導致的問題���。
Adobe 表示:“我們知道有報告稱安全工具中的某些 DLL 與 Adobe Acrobat 對 CEF 的使用不兼容,CEF 是一種基于 Chromium 的引擎���,具有受限的沙盒設(shè)計���,并可能導致穩(wěn)定性問題”�。
該公司補充說�,它目前正在與這些供應(yīng)商合作解決這個問題,并“確保未來 Acrobat 的 CEF 沙盒設(shè)計具有正確的功能���。”Minerva Labs 研究人員認為���,Adobe 選擇的解決方案可以解決兼容性問題,但通過阻止安全軟件保護系統(tǒng)而引入真正的攻擊風險�����。
