Zero-day в Adobe Reader: PDF снова становится вектором атаки

Исследователи из EXPMON обнаружили активную эксплуатацию ранее неизвестной уязвимости нулевого дня в Adobe Reader. Атаки проводятся с использованием специально подготовленных PDF-файлов и, по имеющимся данным, продолжаются как минимум с декабря 2025 года. Уязвимость затрагивает даже последние версии программы и на момент публикации остается пока не исправленной.

Атака строится на классической, но по-прежнему эффективной схеме: пользователю отправляется файл, замаскированный под легитимный документ — в частности, счет или деловое письмо. После открытия PDF внутри Reader запускается обфусцированный JavaScript, который начинает сбор информации о системе и инициирует взаимодействие с удаленной инфраструктурой злоумышленников.

Ключевая особенность эксплойта — использование привилегированных программный оболочку Acrobat, позволяющих частично обходить встроенные механизмы защиты, включая песочницу. Это открывает возможности для фингерпринтинга системы, извлечения локальных данных и подготовки более сложных атак, вплоть до удаленного выполнения кода и дальнейшего закрепления в системе.

Интересная деталь: часть вредоносных документов содержит русскоязычные приманки и отсылки к нефтегазовой отрасли, что может указывать на таргетированные атаки. Одновременно текущая стадия кампании, судя по анализу, сосредоточена скорее на разведке и сборе данных, чем на немедленном нанесении ущерба.

Ситуация в очередной раз демонстрирует, что PDF остается недооцененным вектором атак: сложность формата, сопровождение скриптов и богатый набор программный интерфейс делают его удобной платформой для эксплуатации. До выхода патча пользователям рекомендуется с осторожностью открывать документация из недоверенных источников, а специалистам по безопасности — уделить внимание аномальной активности, связанной с Adobe Reader.