KeulenR01/Remediate-AdobeAcrobat-CVE-2026-34621

# Intune Proactive Remediation – Adobe Acrobat/Reader 版本强制（CVE-2026-34621） 本仓库包含 Microsoft Intune **主动修复**脚本，用于通过以下方式降低 Adobe Acrobat/Reader 漏洞的暴露风险： 1. **强制最低版本**（检测旧版本并移除）。 2. **通过策略注册表键立即禁用 Acrobat/Reader JavaScript**，从而快速缩小攻击面。 这些控制措施可以结合使用： - **短期缓解**：禁用 JavaScript 以立即降低风险。 - **长期修复**：强制修补版本（并移除旧版本安装）。 ## 存在原因（安全上下文） Adobe 已针对 Acrobat 和 Reader 发布安全更新，以修复 **CVE‑2026‑34621**。Adobe 确认该漏洞**已在野外被利用**，并可能导致**任意代码执行**。Acrobat/Reader DC 持续更新通道的修复版本为 **26.001.21411**。[1](https://helpx.adobe.com/security/products/acrobat/apsb26-43.html) 在受管理的环境中，仅拥有最新的安装程序是不够的——设备仍可能运行旧版本。此仓库可确保不会留下易受攻击的旧版本，并通过禁用 JavaScript 提供额外的即时缓解措施。 ## 内容 ### A) 版本强制脚本 - `Detect-AdobeAcrobat.ps1` - `Remediate-AdobeAcrobat.ps1` ### B) 即时缓解脚本（禁用 JavaScript） - `DetectionJavaScript.ps1` - `RemediateJavaScript.ps1` ## A) 版本强制脚本 ### 1) 检测：`Detect-AdobeAcrobat.ps1` **目的**：检测低于定义最低版本的 Adobe Acrobat 安装。 **行为**： - 检查两个卸载注册表项（64 位和 32 位）： - `HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall` - `HKLM:\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall` - 匹配 `DisplayName` 类似 `Adobe Acrobat*` 的产品 - 将 `DisplayVersion` 与以下版本比较： - **最低版本**：`26.001.21411`（CVE‑2026‑34621 的修复版本）[1](https://helpx.adobe.com/security/products/acrobat/apsb26-43.html) **退出代码**： - `0` = 合规（未找到或版本 >= 最低版本） - `1` = 不合规（找到且版本更低） ### 2) 修复：`Remediate-AdobeAcrobat.ps1` **目的**：移除设备上发现的 Adobe Acrobat 安装（包括 Reader/Pro/Standard）。 **行为**： - 在两个卸载注册表项中查找 `Adobe Acrobat*` 项 - 通过以下方式提取 MSI 产品 GUID： - `UninstallString` / `QuietUninstallString` 正则表达式（首选） - 备用方法：注册表项名称 - 运行： - `msiexec /x {GUID} /q /norestart` - 将 `3010`（需要重启）视为成功 **退出代码**： - `0` = 修复成功完成 - `1` = 修复过程中出现错误 ## B) 即时缓解脚本（禁用 JavaScript） 禁用 Acrobat/Reader JavaScript 可以降低依赖 JavaScript 执行的恶意 PDF 载荷的风险。 这应作为**在修补过程中快速降低风险**的措施。 ### 1) 检测：`DetectionJavaScript.ps1` **目的**：验证 Adobe Reader DC 和 Adobe Acrobat DC 的 JavaScript 是否已禁用。 **检查的注册表键**： - `HKLM\SOFTWARE\Policies\Adobe\Acrobat Reader\DC\FeatureLockDown\bDisableJavaScript` - `HKLM\SOFTWARE\Policies\Adobe\Adobe Acrobat\DC\FeatureLockDown\bDisableJavaScript` **预期值**： - `bDisableJavaScript` = `1` **退出代码**： - `0` = 合规（两个键均存在且设置为 1） - `1` = 不合规（缺少键或未设置为 1） ### 2) 修复：`RemediateJavaScript.ps1` **目的**：通过设置策略注册表值，强制禁用 Reader 和 Acrobat DC 的 JavaScript。 **行为**： - 如果注册表路径不存在则创建 - 设置： - `bDisableJavaScript`（DWORD）= `1` - 遇到任何错误时退出代码为 `1`，否则为 `0` ## 建议的 Intune 配置 ### 选项 1（推荐）：同时使用两种修复 1. **缓解包**：禁用 JavaScript（快速缩小攻击面） 2. **补丁强制包**：版本强制（移除易受攻击的安装） 这种方法可在确保修补程序部署的同时提供即时加固。 ### 配置建议 - 以 **System** 身份运行脚本（推荐）。 - 事件响应期间可提高执行频率（例如每 1–4 小时一次），随后降低频率。 ## 运行说明 / 影响 ### 禁用 JavaScript 可能影响功能 某些 PDF 或企业工作流（表单、动态内容、嵌入式脚本）可能依赖 JavaScript。在广泛部署前，请与关键用户组进行验证。 ### 卸载修复需要 MSI GUID 如果 Acrobat 是通过非 MSI 方法安装的，基于 GUID 的卸载可能失败，需要使用其他卸载策略。 ## 参考资料 - Adobe 安全公告：APSB26‑43 – 修复 CVE‑2026‑34621 的 Acrobat/Reader 更新（修复版本 26.001.21411）[1](https://helpx.adobe.com/security/products/acrobat/apsb26-43.html) ## 许可证 本项目根据 [MIT 许可证](LICENSE) 授权——可自由使用、修改和分发。 *免责声明* 本仓库包含通用的、公共的最佳实践脚本，不与任何当前或过去的雇主或客户相关联。仅供教育和社区用途。

标签：64位注册表, Adobe Acrobat, Adobe DC, Adobe Reader, AI合规, CVE-2026-34621, Intune, IPv6, JavaScript禁用, Libemu, PowerShell, Proactive Remediation, WOW6432Node, 企业级管控, 即时分娩缓解, 子域名暴力破解, 安全修复, 攻击面缩减, 最小版本检查, 模块化设计, 注册表策略, 漏洞修复, 版本合规, 版本强制, 端点安全, 端点防护, 网络安全培训, 脚本自动化, 自动化修复, 自动化检测, 补丁管理, 遗留版本清理, 长期修复