令人驚訝的,當前幾乎所有主流防毒工具都無法掃描 Adboe Acrobat Reader 所載入的 PDF 文件,以偵測該文件是否中毒。對此,安全公司 Minerva Labs 的最新安全公告給出驚人答案,原來 Adobe 正基於產品穩定性問題而試圖阻止市面上 30 種不同安全產品掃描其專屬閱讀器所載入的 PDF 文件。如此一來,PDF 文件勢必成為廣大使用者電腦的安全漏洞,甚至可能引發大規模災難性的安全事件與風險。
有趣的是,當前市面上包括趨勢科技、McAfee、賽門鐵克、ESET、卡巴斯基、Malwarebytes、AVAST、BitDefender 及 Sophos 等知名安全方案商旗下共 30 種主流安全產品全都被列入 Adobe 封鎖的黑名單中,但偏偏只有一家產品例外,那就是 Microsoft Defender。
由於安全工具必須獲得存取權限,才能在系統所啟動的目標應用程式上植入 DLL 動態連結程式庫。一旦安全產品遭封鎖,便無權限透過 DLL 的植入來存取載入的 PDF 檔了。換言之,這些被封鎖的安全產品將無法在 PDF 檔載入期間有效偵測並封鎖可能的惡意程式碼。
Minerva Labs 十分憂心 Adobe 的封鎖之舉可能引發災難性的安全風險,因為該舉動除了降低 PDF 檔的安全性可見度之外,更讓安全應用程式監測惡意活動並判定安全狀況的機制失去作用。而且此舉讓惡意攻擊者能夠輕易在 PDF「OpenAction」物件中新增指令並執行 PowerShell,進而下載更進一步的惡意軟體,然後再趁機加以執行。這些安全工具原本可以偵測到的惡意活動,便能在安全產品被封鎖後為所欲為了。
Minerva Labs 在安全公告中透露 Adobe 回覆何以封鎖主流安全產品的原因,Adobe 表示,那是因為這些主流安全產品與 Adobe Acrobat 所使用的 Chromium 嵌入式框架(CEF)不相容,且可能引發穩定性問題所致。
Adboe 此舉實在不可取,畢竟只為了產品的相容性及穩定性問題,就完全枉顧廣大 Acrobat Reader 用戶有可能因此陷入可怕的安全風險中。不過,據報導,Adobe 目前正與安全產品供應商合作,共同解決不相容的問題,相信屆時 PDF 檔又能獲得主流安全產品的保護。
(首圖來源:Minerva Labs)