Adobe Acrobat阻止30款安全軟件查看PDF文件 或存在安全風險

安全研究人員發現，Adobe Acrobat 正嘗試阻止安全軟件查看其打開的 PDF 文件，這可能會給用戶帶來安全風險。Adobe 旗下產品正對市面上主流的 30 款安全產品進行檢查，一旦在進程中檢測到這些安全產品的組件就會嘗試阻止，這也意味着 Adobe 阻止安全產品監視惡意活動。

PDF 文件過去曾被濫用於在系統上執行惡意軟件。網絡安全公司 Minerva Labs 的研究人員解釋說，一種方法是在文檔的“OpenAction”部分添加一個命令來運行 PowerShell 命令以進行惡意活動。

Minerva Labs 表示：“自 2022 年 3 月以來，我們看到 Adobe Acrobat Reader 進程逐漸增加，試圖通過獲取 DLL 的句柄來查詢加載了哪些安全產品 DLL”。

根據本周的一份報告，該列表已經增長到包括來自不同供應商的安全產品的 30 個 DLL。較受消費者歡迎的有 Bitdefender、Avast、趨勢科技、賽門鐵克、Malwarebytes、ESET、卡巴斯基、F-Secure、Sophos、EMSIsoft。

列表如下：

1. Trend Micro

2. BitDefender 

3. AVAST 

4. F-Secure

5. McAfee

6. 360 Security

7. Citrix

8. Symantec

9. Morphisec

10. Malwarebytes

11. Checkpoint

12. Ahnlab

13. Cylance

14. Sophos

15. CyberArk

16. Citrix

17. BullGuard

18. Panda Security

19. Fortinet

20. Emsisoft

21. ESET

22. K7 TotalSecurity

23. Kaspersky

24. AVG

25. CMC Internet Security

26. Samsung Smart Security ESCORT

27. Moon Secure

28. NOD32

29. PC Matic

30. SentryBay
    

查詢系統是通過“libcef.dll”完成的，這是一個被各種程序使用的 Chromium Embedded Framework (CEF) 動態鏈接庫。雖然 Chromium DLL 附帶一個簡短的組件列表，因為它們會導致衝突而被列入黑名單，但使用它的供應商可以進行修改並添加他們想要的任何 DLL。

研究人員解釋說，“libcef.dll 由兩個 Adobe 進程加載：AcroCEF.exe 和 RdrCEF.exe”，因此這兩種產品都在檢查系統中是否存在相同安全產品的組件。

仔細觀察注入 Adobe 進程的 DLL 會發生什麼，Minerva Labs 發現 Adobe 檢查註冊表項“SOFTWAREAdobeAdobe AcrobatDCDLLInjection”下的 bBlockDllInjection 值是否設置為 1。如果是，它將防止防病毒軟件的 DLL 被注入進程。

根據 Minerva Labs 研究員 Natalie Zargarov 的說法，註冊表項的默認值設置為“1”——表示主動阻止。此設置可能取決於操作系統或安裝的 Adobe Acrobat 版本，以及系統上的其他變量。

Adobe 在回復 BleepingComputer 時確認，用戶報告了由於某些安全產品的 DLL 組件與 Adobe Acrobat 對 CEF 庫的使用不兼容而導致的問題。

Adobe 表示：“我們知道有報告稱安全工具中的某些 DLL 與 Adobe Acrobat 對 CEF 的使用不兼容，CEF 是一種基於 Chromium 的引擎，具有受限的沙盒設計，並可能導致穩定性問題”。

該公司補充說，它目前正在與這些供應商合作解決這個問題，並“確保未來 Acrobat 的 CEF 沙盒設計具有正確的功能。”Minerva Labs 研究人員認為，Adobe 選擇的解決方案可以解決兼容性問題，但通過阻止安全軟件保護系統而引入真正的攻擊風險。