安全研究人员发现,Adobe Acrobat 正试图阻止安全软件查看其打开的 PDF 文件,从而给用户带来安全风险。
Adobe 的产品正在检查 30 种安全产品的组件是否已加载到其进程中并可能阻止它们,从而实质上阻止它们监视恶意活动。
标记不兼容的 AV
为了使安全工具正常工作,它需要对系统上的所有进程进行可见性,这是通过将动态链接库 (DLL) 注入机器上启动的软件产品来实现的。
PDF 文件过去曾被滥用于在系统上执行恶意软件。网络安全公司 Minerva Labs 的研究人员解释说,一种方法是在文档的“OpenAction”部分添加一个命令来运行用于恶意活动的 PowerShell 命令。
“自 2022 年 3 月以来,我们看到 Adobe Acrobat Reader 进程逐渐增加,试图通过获取 DLL 的句柄来查询加载了哪些安全产品 DLL”—— Minerva Labs
根据本周的一份报告,该列表已经增长到包括来自不同供应商的安全产品的 30 个 DLL。较受消费者欢迎的有 Bitdefender、Avast、趋势科技、赛门铁克、Malwarebytes、ESET、卡巴斯基、F-Secure、Sophos、Emsisoft。
查询系统是通过“libcef.dll”完成的,这是一个被各种程序使用的 Chromium Embedded Framework (CEF) 动态链接库。
虽然 Chromium DLL 附带一个简短的组件列表,因为它们会导致冲突而被列入黑名单,但使用它的供应商可以进行修改并添加他们想要的任何 DLL。
Chromium 的硬编码 DLL 列表,来源:Minerva Labs
研究人员解释说,“libcef.dll 由两个 Adobe 进程加载:AcroCEF.exe 和 RdrCEF.exe”,因此这两种产品都在检查系统中是否存在相同安全产品的组件。
仔细观察注入 Adobe 进程的 DLL 会发生什么,Minerva Labs 发现 Adobe 会检查 注册表项“ SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\ ”下的bBlockDllInjection 值是否设置为 1。如果是,它将防止防病毒软件的 DLL 被注入进程。
值得注意的是,Adobe Reader 首次运行时注册表项的值为“0”,可以随时修改。
“使用注册表项名称 dBlockDllInjection,并查看cef 文档,我们可以假设列入黑名单的 DLL 被指定为卸载” - Minerva Labs
根据 Minerva Labs 研究员 Natalie Zargarov 的说法,注册表项的默认值设置为“1”——表示主动阻止。此设置可能取决于操作系统或安装的 Adobe Acrobat 版本,以及系统上的其他变量。
在 3 月 28 日Citrix 论坛上的一篇 帖子中 ,一位用户抱怨由于安装了 Adobe 产品而导致 Sophos AV 错误,称该公司“建议禁用 Acrobat 和 Reader 的 DLL 注入”。
Adobe 回应 Citrix 用户在使用 Sophos AV 的机器上遇到错误
解决问题
Adobe 在回复ZZQIDC时证实,用户报告了由于某些安全产品的 DLL 组件与 Adobe Acrobat 对 CEF 库的使用不兼容而导致的问题。
“我们知道有报告称,安全工具中的某些 DLL 与 Adobe Acrobat 对 CEF 的使用不兼容,CEF 是一种基于 Chromium 的引擎,沙盒设计受到限制,并可能导致稳定性问题” - Adobe
该公司补充说,它目前正在与这些供应商合作解决这个问题,并“确保未来 Acrobat 的 CEF 沙盒设计具有正确的功能。”
Minerva Labs 研究人员认为,Adobe 选择的解决方案可以解决兼容性问题,但会通过阻止安全软件保护系统而引入真正的攻击风险。
ZZQIDC已就更多问题联系 Adobe,以解释发生 DLL 阻塞的情况,并在我们获得信息后更新文章。
免费试用尝鲜
贴心会员服务
服务可用性
数据安全保障
全年不间断在线
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号