Vulnerabilidad de día cero en Adobe Acrobat Reader: Cómo se explotó la API de JavaScript para robar archivos
Adobe ha parcheado una vulnerabilidad crítica CVE-2026-34621 en Acrobat Reader que permitía a archivos PDF maliciosos eludir la sandbox y ejecutar código arbitrario sin interacción del usuario. El exploit utilizó APIs privilegiadas de JavaScript para leer archivos locales y descargar cargas útiles adicionales: todo esto sucedía simplemente al abrir el documento.
Mecanismo de ataque mediante la API de JavaScript
La vulnerabilidad provenía de un aislamiento insuficiente entre el entorno de ejecución de JavaScript de PDF y el sistema host. Aunque Acrobat Reader utiliza una sandbox para restringir las acciones de los scripts, los investigadores descubrieron que ciertos métodos de la API seguían accesibles incluso en el contexto restringido. Dos métodos clave formaron la base del exploit:
util.readFileIntoStream()— permite leer el contenido de archivos arbitrarios en el sistema de archivos local;RSS.addFeed()— usado para agregar feeds RSS externos, pero en este caso, los atacantes lo utilizaron para exfiltrar datos y obtener código adicional de un servidor remoto.
La combinación de estas funciones no solo permite robar archivos confidenciales (p. ej., C:\Users\...\credentials.txt), sino también descargar la segunda etapa del ataque, como shellcode o una puerta trasera.
Detección y análisis del exploit
Una muestra de PDF malicioso llamada yummy_adobe_exploit_uwu.pdf fue enviada al sistema EXPMON el 26 de marzo de 2026. Aunque el archivo apareció en VirusTotal tan pronto como el 23 de marzo, solo cinco de 64 soluciones antivirus lo detectaron como una amenaza. Esto indica un alto grado de ofuscación y la novedad de la técnica de explotación.
Haifei Li, fundador de EXPMON, inició un análisis manual después de que se activara la función de «detección profunda» —un módulo especial desarrollado específicamente para detectar exploits complejos en Adobe Reader—. El análisis confirmó el uso de un zero-day activo desde al menos diciembre de 2025.
Mientras tanto, el investigador de seguridad Gi7w0rm descubrió ataques reales dirigidos a organizaciones de habla rusa en el sector del petróleo y gas. Los cebos usaban documentos temáticos sobre licitaciones industriales o especificaciones técnicas, lo que aumentaba la probabilidad de que el público objetivo abriera el archivo.
Versiones afectadas y actualizaciones
Adobe ha lanzado parches de emergencia para los siguientes productos:
- Acrobat DC — versiones hasta 26.001.21367 (parche: 26.001.21411);
- Acrobat Reader DC — versiones hasta 26.001.21367 (parche: 26.001.21411);
- Acrobat 2024 — versiones hasta 24.001.30356 (parche: 24.001.30362 para Windows, 24.001.30360 para macOS).
Se recomiendan las actualizaciones a través del menú Ayuda → Buscar actualizaciones, o descargando manualmente el instalador desde el sitio web oficial de Adobe. El boletín de seguridad no lista soluciones temporales: la única protección al momento de la publicación es instalar el parche.
Recomendaciones para especialistas en ciberseguridad y desarrolladores
Para reducir riesgos al trabajar con documentos PDF de fuentes no confiables:
- Abrir archivos sospechosos en un entorno aislado (p. ej., una máquina virtual sin acceso a la red);
- Desactivar la ejecución de JavaScript en la configuración de Acrobat Reader si no se necesita esa funcionalidad;
- Usar soluciones EDR/XDR capaces de monitorear llamadas a API como
util.readFileIntoStream(); - Configurar sistemas SIEM para detectar accesos inusuales a archivos locales desde procesos como
AcroRd32.exeoAdobe Acrobat Reader.app.
Es importante entender que incluso «solo ver» un PDF puede convertirse en un punto de entrada para grupos APT, especialmente si el documento llegó por correo electrónico de un remitente desconocido.
Lecciones clave
- La vulnerabilidad CVE-2026-34621 permite eludir la sandbox de Acrobat Reader mediante la API de JavaScript.
- El ataque no requiere interacción del usuario: basta con abrir el PDF.
- Los métodos
util.readFileIntoStream()yRSS.addFeed()se usan para robar datos y descargar cargas útiles. - Ataques reales dirigen al sector del petróleo y gas usando cebos en ruso.
- La única protección es actualizar inmediatamente a las versiones parchadas.
— Editorial Team
Aún no hay comentarios.