Zurück zur Startseite

Schwachstelle in Adobe Acrobat Reader: Dateidiebstahl über PDF

Analyse der kritischen Schwachstelle CVE-2026-34621 in Adobe Acrobat Reader, die Sandbox-Umgehung und Dateidiebstahl über JavaScript API ermöglicht. Beschreibt Ausnutzungsmechanismen, betroffene Versionen und Schutzempfehlungen.

Wie Hacker Dateien über PDF in Adobe Reader stehlen
Advertisement 728x90

# Zero-Day-Schwachstelle in Adobe Acrobat Reader: Wie die JavaScript-API ausgenutzt wurde, um Dateien zu stehlen

Adobe hat eine kritische Schwachstelle CVE-2026-34621 in Acrobat Reader behoben, die bösartigen PDF-Dateien ermöglichte, die Sandbox zu umgehen und beliebigen Code ohne Benutzerinteraktion auszuführen. Der Exploit nutzte privilegierte JavaScript-APIs, um lokale Dateien auszulesen und zusätzliche Nutzlasten herunterzuladen – das alles passierte einfach durch das Öffnen des Dokuments.

Angriffsmechanismus über die JavaScript-API

Die Schwachstelle resultierte aus unzureichender Isolation zwischen der PDF-JavaScript-Ausführungsumgebung und dem Hostsystem. Obwohl Acrobat Reader eine Sandbox einsetzt, um Skriptaktionen einzuschränken, stellten Forscher fest, dass bestimmte API-Methoden auch im eingeschränkten Kontext zugänglich blieben. Zwei Schlüsselmethode bildeten die Grundlage des Exploits:

  • util.readFileIntoStream() – ermöglicht das Lesen des Inhalts beliebiger Dateien auf dem lokalen Dateisystem;
  • RSS.addFeed() – dient normalerweise zum Hinzufügen externer RSS-Feeds, hier aber nutzten Angreifer es, um Daten exfiltriert und zusätzlichen Code von einem Remote-Server abzurufen.

Die Kombination dieser Funktionen ermöglicht nicht nur das Stehlen vertraulicher Dateien (z. B. C:\Users\...\credentials.txt), sondern auch das Herunterladen der zweiten Angriffsstufe – wie Shellcode oder ein Backdoor.

Google AdInline article slot

Erkennung und Analyse des Exploits

Eine bösartige PDF-Probe namens yummy_adobe_exploit_uwu.pdf wurde am 26. März 2026 an das EXPMON-System eingereicht. Obwohl die Datei bereits am 23. März auf VirusTotal auftauchte, erkannten nur fünf von 64 Antivirenlösungen sie als Bedrohung. Das deutet auf einen hohen Grad an Obfuskation und die Neuheit der Exploit-Technik hin.

Haifei Li, Gründer von EXPMON, leitete eine manuelle Analyse ein, nachdem die Funktion „deep detection“ ausgelöst wurde – ein spezielles Modul, das eigens zur Erkennung komplexer Exploits in Adobe Reader entwickelt wurde. Die Analyse bestätigte die Nutzung eines Zero-Days, der mindestens seit Dezember 2025 aktiv war.

Derweil entdeckte der Sicherheitsforscher Gi7w0rm reale Angriffe auf russischsprachige Organisationen im Öl- und Gassektor. Als Köder dienten Dokumente zu Branchenausschreibungen oder technischen Spezifikationen, was die Wahrscheinlichkeit erhöhte, dass die Zielgruppe die Datei öffnete.

Google AdInline article slot

Betroffene Versionen und Updates

Adobe hat Notfall-Patches für folgende Produkte veröffentlicht:

  • Acrobat DC – Versionen bis 26.001.21367 (Behebung: 26.001.21411);
  • Acrobat Reader DC – Versionen bis 26.001.21367 (Behebung: 26.001.21411);
  • Acrobat 2024 – Versionen bis 24.001.30356 (Behebung: 24.001.30362 für Windows, 24.001.30360 für macOS).

Updates werden über das Menü Hilfe → Auf Updates prüfen empfohlen oder durch manuelles Herunterladen des Installers von der offiziellen Adobe-Website. Das Sicherheitsbulletin nennt keine temporären Workarounds – der einzige Schutz zum Zeitpunkt der Veröffentlichung ist die Installation des Patches.

Empfehlungen für Cybersecurity-Spezialisten und Entwickler

Um Risiken bei der Arbeit mit PDF-Dokumenten aus unzuverlässigen Quellen zu minimieren:

Google AdInline article slot
  • Öffnen Sie verdächtige Dateien in einer isolierten Umgebung (z. B. einer virtuellen Maschine ohne Netzwerkzugriff);
  • Deaktivieren Sie die JavaScript-Ausführung in den Acrobat-Reader-Einstellungen, falls die Funktion nicht benötigt wird;
  • Verwenden Sie EDR/XDR-Lösungen, die API-Aufrufe wie util.readFileIntoStream() überwachen können;
  • Konfigurieren Sie SIEM-Systeme zur Erkennung ungewöhnlicher Zugriffe auf lokale Dateien durch Prozesse wie AcroRd32.exe oder Adobe Acrobat Reader.app.

Es ist wichtig zu verstehen, dass selbst das „bloße Ansehen“ einer PDF ein Einstiegspunkt für APT-Gruppen werden kann, insbesondere wenn das Dokument per E-Mail von einem unbekannten Absender stammt.

Wichtige Erkenntnisse

  • Schwachstelle CVE-2026-34621 ermöglicht das Umgehen der Acrobat-Reader-Sandbox über die JavaScript-API.
  • Der Angriff erfordert keine Benutzerinteraktion – einfach die PDF öffnen.
  • Methoden util.readFileIntoStream() und RSS.addFeed() dienen zum Datenklau und Herunterladen von Nutzlasten.
  • Reale Angriffe zielen auf den Öl- und Gassektor mit russischsprachigen Ködern ab.
  • Einziger Schutz: Sofortiges Update auf die gepatchten Versionen.

— Editorial Team

Advertisement 728x90

Weiterlesen