安全研究人员发现,Adobe Acrobat 正尝试阻止安全软件查看其打开的 PDF 文件,这可能会给用户带来安全风险。Adobe 旗下产品正对市面上主流的 30 款安全产品进行检查,一旦在进程中检测到这些安全产品的组件就会尝试阻止,这也意味着 Adobe 阻止安全产品监视恶意活动。
PDF 文件过去曾被滥用于在系统上执行恶意软件。网络安全公司 Minerva Labs 的研究人员解释说,一种方法是在文档的“OpenAction”部分添加一个命令来运行 PowerShell 命令以进行恶意活动。
Minerva Labs 表示:“自 2022 年 3 月以来,我们看到 Adobe Acrobat Reader 进程逐渐增加,试图通过获取 DLL 的句柄来查询加载了哪些安全产品 DLL”。
根据本周的一份报告,该列表已经增长到包括来自不同供应商的安全产品的 30 个 DLL。较受消费者欢迎的有 Bitdefender、Avast、趋势科技、赛门铁克、Malwarebytes、ESET、卡巴斯基、F-Secure、Sophos、EMSIsoft。
列表如下:
Trend Micro
BitDefender
AVAST
F-Secure
McAfee
360 Security
Citrix
Symantec
Morphisec
Malwarebytes
Checkpoint
Ahnlab
Cylance
Sophos
CyberArk
Citrix
BullGuard
Panda Security
Fortinet
Emsisoft
ESET
K7 TotalSecurity
Kaspersky
AVG
CMC Internet Security
Samsung Smart Security ESCORT
Moon Secure
NOD32
PC Matic
SentryBay
查询系统是通过“libcef.dll”完成的,这是一个被各种程序使用的 Chromium Embedded framework (CEF) 动态链接库。虽然 Chromium DLL 附带一个简短的组件列表,因为它们会导致冲突而被列入黑名单,但使用它的供应商可以进行修改并添加他们想要的任何 DLL。
研究人员解释说,“libcef.dll 由两个 Adobe 进程加载:AcroCEF.exe 和 RdrCEF.exe”,因此这两种产品都在检查系统中是否存在相同安全产品的组件。
仔细观察注入 Adobe 进程的 DLL 会发生什么,Minerva Labs 发现 Adobe 检查注册表项“SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\”下的 bBlockDllInjection 值是否设置为 1。如果是,它将防止防病毒软件的 DLL 被注入进程。
根据 Minerva Labs 研究员 Natalie Zargarov 的说法,注册表项的默认值设置为“1”——表示主动阻止。此设置可能取决于操作系统或安装的 Adobe Acrobat 版本,以及系统上的其他变量。
Adobe 在回复 BleepingComputer 时确认,用户报告了由于某些安全产品的 DLL 组件与 Adobe Acrobat 对 CEF 库的使用不兼容而导致的问题。
Adobe 表示:“我们知道有报告称安全工具中的某些 DLL 与 Adobe Acrobat 对 CEF 的使用不兼容,CEF 是一种基于 Chromium 的引擎,具有受限的沙盒设计,并可能导致稳定性问题”。
该公司补充说,它目前正在与这些供应商合作解决这个问题,并“确保未来 Acrobat 的 CEF 沙盒设计具有正确的功能。”Minerva Labs 研究人员认为,Adobe 选择的解决方案可以解决兼容性问题,但通过阻止安全软件保护系统而引入真正的攻击风险。