安全研究人员表示,Adobe Acrobat试图阻止安全软件查看打开的PDF文件,这可能给用户带来安全风险。 Adobe产品正在检查市场上主流的30种安全产品,如果在过程中检测到这些安全产品的组件,则会尝试阻止它们。 这意味着Adobe阻止安全产品监视恶意活动。
PDF文件以前曾被滥用于在系统上执行恶意软件。 网络安全公司Minerva Labs的研究人员解释说,可以通过在文档的” OpenAction “部分添加命令来为恶意活动运行PowerShell命令。
Minerva Labs说:“我们看到自2022年3月以来,Adobe Acrobat Reader进程不断增加,我们试图通过获取DLL的句柄来查询加载了哪些安全产品DLL。”
本周的报告显示,该列表已增加到30个DLL,包括各种供应商的安全产品。 受消费者欢迎的是Bitdefender、Avast、趋势科技、赛门铁克、Malwarebytes、ESET、卡巴斯基、F-Secure、Sophos、EMSIsoft。
清单如下。
趋势科技
BitDefender
AVAST
F-Secure
McAfee
360安全
Citrix
赛门铁克
机械秒
Malwarebytes
检查点
Ahnlab
Cylance
Sophos
CyberArk
Citrix
BullGuard
Panda Security
财富
艾默生
ESET
k7总安全
Kaspersky
AVG
CMC互联网安全
三星智能安全评估
Moon Secure
NOD32
电脑矩阵
森林白
查询系统通过“libcef.dll”进行。 这是一个在各种程序中使用的Chromiumembeddedframework(cef )动态链接库。 Chromium DLL附带了一个列入黑名单以引起冲突的简单组件列表,但使用该列表的供应商可以修改并添加所需的DLL。
研究人员表示:“libcef.dll通过两个Adobe进程加载: AcroCEF.exe和RdrCEF.exe,因此请检查系统中是否存在相同的安全产品组件
当您仔细观察注入到Adobe进程的DLL中发生的情况时,Minerva Labs会显示Adobe在注册表项“software\adobe\adobe acrobat\DC\dll injection \ ”下的bBlockDllInjection值,如果是,则阻止防病毒软件的DLL注入进程。
Minerva Labs研究员Natalie Zargarov表示,注册表项的默认值设置为“1”——,这意味着它会主动阻止。 此设置取决于操作系统或已安装的Adobe Acrobat版本以及系统上的其他变量。
在回复BleepingComputer时,Adobe确认用户报告了由于某些安全产品的DLL组件与Adobe Acrobat的CEF库的使用不兼容而出现的问题。
adobe先生说: “一些安全工具的DLL报告与Adobe Acrobat和CEF的使用不兼容。 CEF是基于Chromium的引擎,具有有限的沙箱设计,可能会导致稳定性问题。”
该公司目前正在与这些供应商合作解决该问题,并补充说:“确保未来的acrobat cef沙箱设计具有正确的功能。” Minerva Labs的研究人员认为,虽然adobe选择的解决方案可以解决兼容性问题,但通过阻止安全软件保护系统引入了真正的攻击风险。
