Zranitelnost nulového dne v Adobe Acrobat Reader: jak exploitovali JavaScript API pro krádež souborů
Adobe odstranila kritickou zranitelnost CVE-2026-34621 v Acrobat Reader, která umožňovala škodlivým PDF souborům obejít sandbox a vykonat libovolný kód bez interakce uživatele. Exploit využíval privilegované JavaScript API pro čtení lokálních souborů a stahování dalších užitečných zátěží – to vše se stalo po prostém otevření dokumentu.
Mechanismus útoku prostřednictvím JavaScript API
Zranitelnost vznikla kvůli nedostatečné izolaci mezi prostředím pro vykonávání JavaScriptu v PDF a hlavním systémem. Ačkoli Acrobat Reader používá sandbox k omezení akcí skriptů, výzkumníci zjistili, že určité API metody zůstaly dostupné i v omezeném kontextu. Dva klíčové metody se staly základem exploitu:
util.readFileIntoStream()— umožňuje číst obsah libovolných souborů na lokálním souborovém systému;RSS.addFeed()— slouží k přidávání externích RSS kanálů, ale v tomto případě ho útočníci používali k extrakci dat a načtení dalšího kódu z vzdáleného serveru.
Kombinace těchto funkcí umožňuje nejen ukrást důvěrné soubory (např. C:\Users\...\credentials.txt), ale také načíst druhou fázi útoku – např. shellcode nebo backdoor.
Objevení a analýza exploitu
Ukázka škodlivého PDF s názvem yummy_adobe_exploit_uwu.pdf byla odeslána do systému EXPMON 26. března 2026. Ačkoli se soubor objevil na VirusTotal již 23. března, pouze pět z 64 antivirových řešení ho rozpoznalo jako hrozbu. To svědčí o vysoké míře obfuskace a novosti techniky exploitace.
Haifei Li, zakladatel EXPMON, zahájil manuální analýzu po aktivaci funkce „hluboké detekce“ – speciálního modulu vyvinutého právě pro odhalování složitých exploitů v Adobe Reader. Analýza potvrdila zero-day zranitelnost aktivní nejméně od prosince 2025.
Současně bezpečnostní výzkumník Gi7w0rm objevil reálné útoky zaměřené na ruskojazyčné organizace v ropno-plynářském sektoru. Jako návnady sloužily dokumenty s tématikou odvětvových veřejných zakázek nebo technických specifikací, což zvyšovalo šanci, že cílová skupina soubor otevře.
Postižené verze a aktualizace
Adobe vydala nouzové patche pro následující produkty:
- Acrobat DC — verze do 26.001.21367 (oprava: 26.001.21411);
- Acrobat Reader DC — verze do 26.001.21367 (oprava: 26.001.21411);
- Acrobat 2024 — verze do 24.001.30356 (oprava: 24.001.30362 pro Windows, 24.001.30360 pro macOS).
Aktualizaci doporučujeme provést přes menu Nápověda → Zkontrolovat aktualizace, případně ručně stáhnout instalátor z oficiálního webu Adobe. V bezpečnostním bulletinu není uvedeno žádné dočasné řešení – jediná ochrana k okamžiku publikace je instalace patchu.
Doporučení pro specialisty na informační bezpečnost a vývojáře
Pro snížení rizik při práci s PDF dokumenty z nespolehlivých zdrojů postupujte takto:
- Otevírejte podezřelé soubory v izolovaném prostředí (např. virtuální stroj bez síťového přístupu);
- Vypněte spouštění JavaScriptu v nastavení Acrobat Reader, pokud tuto funkci nepotřebujete;
- Používejte EDR/XDR řešení s monitorováním volání API jako
util.readFileIntoStream(); - Nastavte SIEM systémy na detekci neobvyklých přístupů k lokálním souborům z procesů
AcroRd32.exeneboAdobe Acrobat Reader.app.
Je třeba si uvědomit, že i „jen prohlížení“ PDF může sloužit jako vstupní bod pro APT skupiny, zejména pokud dokument přišel e-mailem od neznámého odesílatele.
Co je důležité
- Zranitelnost CVE-2026-34621 umožňuje obejít sandbox Acrobat Reader prostřednictvím JavaScript API.
- Útok nevyžaduje interakci uživatele – stačí otevřít PDF.
- Používají se metody
util.readFileIntoStream()aRSS.addFeed()pro krádež dat a načtení užitečné zátěže. - Reálné útoky cílí na ropno-plynářský sektor s ruskojazyčnými návnadami.
- Jediná ochrana – okamžité aktualizování na opravené verze.
— Editorial Team
Zatím žádné komentáře.