Adobe Acrobat Reader의 제로데이 취약점: JavaScript API 악용으로 파일 탈취한 방법
Adobe는 Acrobat Reader의 심각한 취약점 CVE-2026-34621을 패치했습니다. 이 취약점은 악성 PDF 파일이 샌드박스를 우회하고 사용자 상호작용 없이 임의 코드를 실행할 수 있게 했습니다. 이 익스플로잇은 특권 JavaScript API를 사용해 로컬 파일을 읽고 추가 페이로드를 다운로드했습니다—이 모든 것이 문서를 여는 것만으로 발생했습니다.
JavaScript API를 통한 공격 메커니즘
이 취약점은 PDF JavaScript 실행 환경과 호스트 시스템 간의 격리가 불충분했기 때문에 발생했습니다. Acrobat Reader는 스크립트 동작을 제한하기 위해 샌드박스를 사용하지만, 연구원들은 제한된 컨텍스트에서도 특정 API 메서드가 접근 가능하다는 사실을 발견했습니다. 익스플로잇의 기반이 된 두 가지 주요 메서드는 다음과 같습니다:
util.readFileIntoStream()— 로컬 파일 시스템의 임의 파일 내용을 읽을 수 있게 합니다;RSS.addFeed()— 외부 RSS 피드를 추가하는 데 사용되지만, 이 경우 공격자들은 이를 데이터 유출과 원격 서버로부터 추가 코드를 가져오는 데 이용했습니다.
이 함수들을 조합하면 기밀 파일(예: C:\Users\...\credentials.txt)을 탈취할 수 있을 뿐만 아니라 공격의 2단계—예를 들어 셸코드나 백도어—를 다운로드할 수도 있습니다.
익스플로잇 탐지 및 분석
yummy_adobe_exploit_uwu.pdf라는 샘플 악성 PDF가 2026년 3월 26일 EXPMON 시스템에 제출되었습니다. 이 파일은 VirusTotal에 3월 23일부터 등장했지만, 64개 안티바이러스 솔루션 중 단 5개만 이를 위협으로 탐지했습니다. 이는 높은 난독화 정도와 익스플로잇 기법의 신규성을 나타냅니다.
EXPMON 창립자 Haifei Li는 Acrobat Reader의 복잡한 익스플로잇을 탐지하기 위해 특별히 개발된 "심층 탐지" 기능이 작동한 후 수동 분석을 시작했습니다. 분석 결과 최소 2025년 12월부터 활동 중인 제로데이의 사용이 확인되었습니다.
한편, 보안 연구원 Gi7w0rm은 석유·가스 부문의 러시아어권 조직을 노린 실제 공격을 발견했습니다. 산업 입찰이나 기술 사양을 주제로 한 유인 문서를 사용해 대상 사용자들이 파일을 열 가능성을 높였습니다.
영향을 받는 버전 및 업데이트
Adobe는 다음 제품에 대한 긴급 패치를 배포했습니다:
- Acrobat DC — 26.001.21367 이하 버전 (패치: 26.001.21411);
- Acrobat Reader DC — 26.001.21367 이하 버전 (패치: 26.001.21411);
- Acrobat 2024 — 24.001.30356 이하 버전 (Windows 패치: 24.001.30362, macOS 패치: 24.001.30360).
Help → Check for Updates 메뉴를 통해 업데이트를 권장하며, 또는 Adobe 공식 웹사이트에서 설치 프로그램을 수동으로 다운로드할 수 있습니다. 보안 게시판에는 임시 대안이 없으며—발행 시점에서 유일한 보호 수단은 패치 설치입니다.
사이버 보안 전문가 및 개발자를 위한 권장 사항
신뢰할 수 없는 출처의 PDF 문서 작업 시 위험을 줄이기 위해:
- 의심스러운 파일은 네트워크 접근이 차단된 가상 머신 같은 격리된 환경에서 열기;
- 해당 기능이 필요하지 않으면 Acrobat Reader 설정에서 JavaScript 실행 비활성화;
util.readFileIntoStream()같은 API 호출을 모니터링할 수 있는 EDR/XDR 솔루션 사용;AcroRd32.exe나Adobe Acrobat Reader.app같은 프로세스로부터 로컬 파일에 대한 비정상 접근을 탐지하도록 SIEM 시스템 구성.
"PDF만 보는 것"조차도 알려지지 않은 발신자의 이메일로 온 문서라면 APT 그룹의 진입점이 될 수 있다는 점을 이해하는 것이 중요합니다.
주요 요약
- 취약점 CVE-2026-34621은 JavaScript API를 통해 Acrobat Reader 샌드박스를 우회합니다.
- 공격은 사용자 상호작용 없이 PDF만 열어도 됩니다.
util.readFileIntoStream()과RSS.addFeed()메서드가 데이터 탈취와 페이로드 다운로드에 사용됩니다.- 실제 공격은 러시아어 유인 문서를 사용해 석유·가스 부문을 노립니다.
- 유일한 보호 수단은 패치된 버전으로 즉시 업데이트입니다.
— Editorial Team
아직 댓글이 없습니다.