根据Minerva Labs发布的一份安全报告,Adobe 正在积极阻止几个防病毒工具扫描其 Adobe Acrobat Reader 应用程序加载的 PDF 文档。
该公司发现有证据表明 Adobe 正在阻止大约 30 种不同的安全产品扫描加载的 PDF 文档。这份名单读起来就像安全公司的名人录,但有一个明显的例外。报告称,趋势科技、迈克菲、赛门铁克、ESET、卡巴斯基、Malwarebytes、Avast、BitDefender 和 Sophos 的产品被屏蔽。至少从市场份额的角度来看,一个值得注意的例外是 Microsoft Defender,它没有被 Adobe 的软件阻止。
以下是受影响公司和产品的完整列表:
Trend Micro, BitDefender, AVAST, F-Secure, McAfee, 360 Security, Citrix, Symantec, Morphisec, Malwarebytes, Checkpoint, Ahnlab, Cylance, Sophos, CyberArk, Citrix, BullGuard, Panda Security, Fortinet, Emsisoft, ESET, K7 TotalSecurity,卡巴斯基、AVG、CMC Internet Security、三星智能安全 ESCORT、Moon Secure、NOD32、PC Matic、SentryBay
被阻止的产品无法访问加载的 PDF 文件,这意味着产品在加载阶段无法检测或阻止恶意代码。
安全工具将 DLL(动态链接库)注入到系统上启动的应用程序中,这是获得访问权限所必需的。阻塞防止注射发生。
根据报告,Adobe Acrobat 在两个进程中使用 Chromium Embedded Framework (CEF) 动态链接库 Libcef.dll。Chromium 组件包含自己的黑名单,以防止与 DLL 文件发生问题和冲突。使用 libcef.dll 的软件公司可能会自定义黑名单,而 Adobe 似乎已经这样做了,将安全产品的 DLL 文件添加到其中。
Minerva Labs 指出,封锁的结果“可能是灾难性的”。除了“阻碍进程内部和每个创建的子进程内部的检测和预防能力”的可见性降低之外,它还限制了安全应用程序监视活动和确定上下文的手段。
威胁参与者可以很容易地在 pdf 的“OpenAction”部分添加一个命令,然后该命令可以执行 PowerShell,例如,它可以下载下一阶段的恶意软件并反射性地执行它。如果缺少安全产品挂钩,则不会检测到任何这些操作。
Minerva Labs 联系了 Adobe,以了解 Adobe Acrobat 阻止安全产品的原因。Adobe 回复说,“这是由于“与 Adobe Acrobat 使用 CEF 不兼容,CEF 是一种基于 Chromium 的引擎,沙盒设计受到限制,可能会导致稳定性问题”。
换句话说:Adobe 选择通过阻止安全流程来解决稳定性问题。Minerva Labs 指出,Adobe 选择了便利性和插入“类似恶意软件”的行为,而不是永久解决问题。
当网站联系 Adobe 时, Bleeping Computer收到了类似的答复。Adobe 证实它正在与安全产品的供应商合作,以解决不兼容问题,并“确保 Acrobat 的 CEF 沙盒设计具有正确的功能”。
