Minerva Labs的安全研究人员近日发现,Adobe Acrobat正试图阻止安全软件查看其打开的PDF文件,此举给用户带来安全风险。研究人员指出,Adobe正在检测和“封杀”市场上的主流防病毒软件。
大多数流行防病毒软件登上“黑名单”
杀毒软件正常运行的前提是对系统上所有进程的可见性,这主要是通过将动态链接库(DLL)注入在设备上启动的软件来实现的。
PDF文件过去曾被滥用于在系统上执行恶意软件。网络安全公司Minerva Labs的研究人员解释说,一种方法是在文档的“OpenAction”部分添加一个命令来运行用于恶意活动的PowerShell命令。
“自2022年3月以来,我们看到Adobe Acrobat Reader进程逐渐增加,试图通过获取DLL的句柄来查询加载了哪些安全产品DLL。”——Minerva Labs
根据本周的一份报告,来自不同供应商的30多个安全产品的DLL已经登上了Adobe的杀毒软件“黑名单”。其中包括在消费者中流行的Bitdefender、Avast、趋势科技、赛门铁克、Malwarebytes、ESET、卡巴斯基、F-Secure、Sophos、Emsisoft等公司的产品。
Adobe用户已经受到影响
在3月28日Citrix用户论坛上的一篇帖子,一位用户抱怨由于安装了Adobe产品而导致Sophos杀毒软件报错,称Adobe“建议禁用Acrobat和Reader的DLL注入”。
根据BleepingComputer的报道,Adobe证实确有用户报告了由于某些安全产品的DLL组件与Adobe Acrobat对CEF库的使用不兼容而导致的问题。
“我们知道有用户报告其杀毒软件中的某些DLL与Adobe Acrobat对CEF的使用不兼容,CEF是一种基于Chromium的引擎,沙盒设计受到限制,并可能导致稳定性问题。”——Adobe
Adobe补充说,它目前正在与这些安全厂商合作解决这个问题,并“确保未来Acrobat的CEF沙盒设计具有正确的功能。”
Minerva Labs研究人员认为,Adobe此前选择的技术方案虽然解决了兼容性问题,但会通过阻止杀毒软件而引入真正的攻击风险。
参考链接:
https://blog.minerva-labs.com/does-acrobat-reader-unload-injection-of-security-products
文章来源:GoUpSec
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
多一个点在看多一条小鱼干