安全研究人员发现，Adobe Acrobat 正试图阻止安全软件查看其打开的 PDF 文件，从而给用户带来安全风险。

Adobe 的产品正在检查 30 种安全产品的组件是否已加载到其进程中并可能阻止它们，从而实质上阻止它们监视恶意活动。

标记不兼容的 AV
为了使安全工具正常工作，它需要对系统上的所有进程进行可见性，这是​​通过将动态链接库 (DLL) 注入机器上启动的软件产品来实现的。

PDF 文件过去曾被滥用于在系统上执行恶意软件。网络安全公司 Minerva Labs 的研究人员解释说，一种方法是在文档的“OpenAction”部分添加一个命令来运行用于恶意活动的 PowerShell 命令。

“自 2022 年 3 月以来，我们看到 Adob​​e Acrobat Reader 进程逐渐增加，试图通过获取 DLL 的句柄来查询加载了哪些安全产品 DLL”—— Minerva Labs

根据本周的一份报告，该列表已经增长到包括来自不同供应商的安全产品的 30 个 DLL。较受消费者欢迎的有 Bitdefender、Avast、趋势科技、赛门铁克、Malwarebytes、ESET、卡巴斯基、F-Secure、Sophos、Emsisoft。

查询系统是通过“libcef.dll”完成的，这是一个被各种程序使用的 Chromium Embedded Framework (CEF) 动态链接库。

虽然 Chromium DLL 附带一个简短的组件列表，因为它们会导致冲突而被列入黑名单，但使用它的供应商可以进行修改并添加他们想要的任何 DLL。

Chromium 的硬编码 DLL 列表，来源：Minerva Labs
研究人员解释说，“libcef.dll 由两个 Adob​​e 进程加载：AcroCEF.exe 和 RdrCEF.exe”，因此这两种产品都在检查系统中是否存在相同安全产品的组件。

仔细观察注入 Adob​​e 进程的 DLL 会发生什么，Minerva Labs 发现 Adob​​e 会检查 注册表项“ SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\ ”下的bBlockDllInjection 值是否设置为 1。如果是，它将防止防病毒软件的 DLL 被注入进程。

值得注意的是，Adobe Reader 首次运行时注册表项的值为“0”，可以随时修改。

“使用注册表项名称 dBlockDllInjection，并查看cef 文档，我们可以假设列入黑名单的 DLL 被指定为卸载” - Minerva Labs

根据 Minerva Labs 研究员 Natalie Zargarov 的说法，注册表项的默认值设置为“1”——表示主动阻止。此设置可能取决于操作系统或安装的 Adob​​e Acrobat 版本，以及系统上的其他变量。

在 3 月 28 日Citrix 论坛上的一篇 帖子中 ，一位用户抱怨由于安装了 Adob​​e 产品而导致 Sophos AV 错误，称该公司“建议禁用 Acrobat 和 Reader 的 DLL 注入”。

Adobe 回应 Citrix 用户在使用 Sophos AV 的机器上遇到错误
解决问题
Adobe 在回复ZZQIDC时证实，用户报告了由于某些安全产品的 DLL 组件与 Adob​​e Acrobat 对 CEF 库的使用不兼容而导致的问题。

“我们知道有报告称，安全工具中的某些 DLL 与 Adob​​e Acrobat 对 CEF 的使用不兼容，CEF 是一种基于 Chromium 的引擎，沙盒设计受到限制，并可能导致稳定性问题” - Adob​​e

该公司补充说，它目前正在与这些供应商合作解决这个问题，并“确保未来 Acrobat 的 CEF 沙盒设计具有正确的功能。”

Minerva Labs 研究人员认为，Adobe 选择的解决方案可以解决兼容性问题，但会通过阻止安全软件保护系统而引入真正的攻击风险。

ZZQIDC已就更多问题联系 Adob​​e，以解释发生 DLL 阻塞的情况，并在我们获得信息后更新文章。