Adobe“封殺”主流防病毒軟件
Minerva Labs的安全研究人員近日發現,Adobe Acrobat正試圖阻止安全軟件查看其打開的PDF文件,此舉給用戶帶來安全風險。研究人員指出,Adobe正在檢測和“封殺”市場上的主流防病毒軟件。
大多數流行防病毒軟件登上“黑名單”
殺毒軟件正常運行的前提是對系統上所有進程的可見性,這主要是通過將動態鏈接庫(DLL)注入在設備上啟動的軟件來實現的。
PDF文件過去曾被濫用于在系統上執行惡意軟件。網絡安全公司Minerva Labs的研究人員解釋說,一種方法是在文檔的“OpenAction”部分添加一個命令來運行用于惡意活動的PowerShell命令。
“自2022年3月以來,我們看到Adobe Acrobat Reader進程逐漸增加,試圖通過獲取DLL的句柄來查詢加載了哪些安全產品DLL。”——Minerva Labs
根據本周的一份報告,來自不同供應商的30多個安全產品的DLL已經登上了Adobe的殺毒軟件“黑名單”。其中包括在消費者中流行的Bitdefender、Avast、趨勢科技、賽門鐵克、Malwarebytes、ESET、卡巴斯基、F-Secure、Sophos、Emsisoft等公司的產品。
Adobe用戶已經受到影響
在3月28日Citrix用戶論壇上的一篇帖子,一位用戶抱怨由于安裝了Adobe產品而導致Sophos殺毒軟件報錯,稱Adobe“建議禁用Acrobat和Reader的DLL注入”。
根據BleepingComputer的報道,Adobe證實確有用戶報告了由于某些安全產品的DLL組件與Adobe Acrobat對CEF庫的使用不兼容而導致的問題。
“我們知道有用戶報告其殺毒軟件中的某些DLL與Adobe Acrobat對CEF的使用不兼容,CEF是一種基于Chromium的引擎,沙盒設計受到限制,并可能導致穩定性問題。”——Adobe
Adobe補充說,它目前正在與這些安全廠商合作解決這個問題,并“確保未來Acrobat的CEF沙盒設計具有正確的功能。”
Minerva Labs研究人員認為,Adobe此前選擇的技術方案雖然解決了兼容性問題,但會通過阻止殺毒軟件而引入真正的攻擊風險。
參考鏈接:
https://blog.minerva-labs.com/does-acrobat-reader-unload-injection-of-security-products
