Vulnérabilité zero-day dans Adobe Acrobat Reader : Comment l'API JavaScript a été exploitée pour voler des fichiers
Adobe a corrigé une vulnérabilité critique CVE-2026-34621 dans Acrobat Reader qui permettait à des fichiers PDF malveillants de contourner le sandbox et d'exécuter du code arbitraire sans interaction de l'utilisateur. L'exploit utilisait des API JavaScript privilégiées pour lire des fichiers locaux et télécharger des charges utiles supplémentaires — tout cela se produisait simplement en ouvrant le document.
Mécanisme d'attaque via l'API JavaScript
La vulnérabilité provenait d'une isolation insuffisante entre l'environnement d'exécution JavaScript des PDF et le système hôte. Bien qu'Acrobat Reader utilise un sandbox pour restreindre les actions des scripts, les chercheurs ont découvert que certaines méthodes d'API restaient accessibles même dans le contexte restreint. Deux méthodes clés formaient la base de l'exploit :
util.readFileIntoStream()— permet de lire le contenu de fichiers arbitraires sur le système de fichiers local ;RSS.addFeed()— utilisée pour ajouter des flux RSS externes, mais dans ce cas, les attaquants s'en servaient pour exfiltrer des données et récupérer du code supplémentaire depuis un serveur distant.
Combiner ces fonctions permet non seulement de voler des fichiers confidentiels (p. ex., C:\Users\...\credentials.txt), mais aussi de télécharger la deuxième étape de l'attaque — comme du shellcode ou une porte dérobée.
Détection et analyse de l'exploit
Un échantillon de PDF malveillant nommé yummy_adobe_exploit_uwu.pdf a été soumis au système EXPMON le 26 mars 2026. Bien que le fichier soit apparu sur VirusTotal dès le 23 mars, seulement cinq des 64 solutions antivirus l'ont détecté comme une menace. Cela indique un haut degré d'obfuscation et la nouveauté de la technique d'exploitation.
Haifei Li, fondateur d'EXPMON, a initié une analyse manuelle après que la fonction de « détection approfondie » ait été déclenchée — un module spécial développé spécifiquement pour détecter les exploits complexes dans Adobe Reader. L'analyse a confirmé l'utilisation d'un zero-day actif depuis au moins décembre 2025.
Parallèlement, le chercheur en sécurité Gi7w0rm a découvert des attaques réelles ciblant des organisations russophones dans le secteur pétrolier et gazier. Les appâts utilisaient des documents thématiques autour d'appels d'offres industriels ou de spécifications techniques, augmentant la probabilité que le public cible ouvre le fichier.
Versions affectées et mises à jour
Adobe a publié des correctifs d'urgence pour les produits suivants :
- Acrobat DC — versions jusqu'à 26.001.21367 (correctif : 26.001.21411) ;
- Acrobat Reader DC — versions jusqu'à 26.001.21367 (correctif : 26.001.21411) ;
- Acrobat 2024 — versions jusqu'à 24.001.30356 (correctif : 24.001.30362 pour Windows, 24.001.30360 pour macOS).
Les mises à jour sont recommandées via le menu Help → Check for Updates, ou en téléchargeant manuellement l'installeur depuis le site web officiel d'Adobe. Le bulletin de sécurité ne liste aucun contournement temporaire — la seule protection au moment de la publication est l'installation du correctif.
Recommandations pour les spécialistes en cybersécurité et les développeurs
Pour réduire les risques lors du travail avec des documents PDF provenant de sources non fiables :
- Ouvrir les fichiers suspects dans un environnement isolé (p. ex., une machine virtuelle sans accès réseau) ;
- Désactiver l'exécution JavaScript dans les paramètres d'Acrobat Reader si la fonctionnalité n'est pas nécessaire ;
- Utiliser des solutions EDR/XDR capables de surveiller les appels API comme
util.readFileIntoStream(); - Configurer les systèmes SIEM pour détecter les accès inhabituels aux fichiers locaux depuis des processus comme
AcroRd32.exeouAdobe Acrobat Reader.app.
Il est important de comprendre que même « simplement visualiser » un PDF peut devenir un point d'entrée pour les groupes APT, surtout si le document provient d'un e-mail d'un expéditeur inconnu.
Points clés à retenir
- Vulnérabilité CVE-2026-34621 permet de contourner le sandbox d'Acrobat Reader via l'API JavaScript.
- L'attaque ne nécessite aucune interaction de l'utilisateur — il suffit d'ouvrir le PDF.
- Les méthodes
util.readFileIntoStream()etRSS.addFeed()sont utilisées pour voler des données et télécharger des charges utiles. - Des attaques réelles ciblent le secteur pétrolier et gazier avec des appâts en russe.
- La seule protection est la mise à jour immédiate vers les versions corrigées.
— Editorial Team
Aucun commentaire pour le moment.