Luka zero-day w Adobe Acrobat Reader: jak wykorzystywano API JavaScript do kradzieży plików
Adobe usunęło krytyczną lukę CVE-2026-34621 w Acrobat Reader, która pozwalała złośliwym plikom PDF omijać sandbox i wykonywać dowolny kod bez interakcji z użytkownikiem. Exploit wykorzystywał uprzywilejowane API JavaScript do odczytywania lokalnych plików i ładowania dodatkowych ładunków — wszystko to następowało po prostu po otwarciu dokumentu.
Mechanizm ataku za pośrednictwem API JavaScript
Luka wynikała z niewystarczającej izolacji między środowiskiem wykonywania JavaScript w PDF a systemem głównym. Chociaż Acrobat Reader stosuje sandbox do ograniczania działań skryptów, badacze odkryli, że pewne metody API pozostawały dostępne nawet w ograniczonym kontekście. Dwie kluczowe metody stały się podstawą exploita:
util.readFileIntoStream()— pozwala na odczytywanie zawartości dowolnych plików na lokalnym systemie plików;RSS.addFeed()— służy do dodawania zewnętrznych kanałów RSS, ale w tym przypadku napastnicy używali jej do wyciągania danych i pobierania dodatkowego kodu z zdalnego serwera.
Połączenie tych funkcji umożliwia nie tylko kradzież poufnych plików (np. C:\Users\...\credentials.txt), ale także załadowanie drugiej fazy ataku — na przykład shellcode'u lub backdoora.
Odkrycie i analiza exploita
Próbka złośliwego PDF o nazwie yummy_adobe_exploit_uwu.pdf została wysłana do systemu EXPMON 26 marca 2026 roku. Chociaż plik pojawił się w VirusTotal już 23 marca, tylko pięć z 64 rozwiązań antywirusowych rozpoznało go jako zagrożenie. Świadczy to o wysokim stopniu obfuskacji i nowości techniki eksploatacji.
Haifei Li, założyciel EXPMON, uruchomił ręczną analizę po wyzwoleniu funkcji „głębokiego wykrywania” — specjalnego modułu opracowanego właśnie do identyfikacji złożonych exploitów w Adobe Reader. Analiza potwierdziła użycie luki zero-day, aktywnej co najmniej od grudnia 2025 roku.
Równolegle badacz bezpieczeństwa Gi7w0rm odkrył rzeczywiste ataki skierowane na rosyjskojęzyczne organizacje w sektorze naftowo-gazowym. Jako przynęty używano dokumentów o tematyce branżowych przetargów lub specyfikacji technicznych, co zwiększało prawdopodobieństwo otwarcia pliku przez docelową grupę odbiorców.
Dotknięte wersje i aktualizacje
Adobe wydało pilne poprawki dla następujących produktów:
- Acrobat DC — wersje do 26.001.21367 (poprawka: 26.001.21411);
- Acrobat Reader DC — wersje do 26.001.21367 (poprawka: 26.001.21411);
- Acrobat 2024 — wersje do 24.001.30356 (poprawka: 24.001.30362 dla Windows, 24.001.30360 dla macOS).
Aktualizację zaleca się wykonać przez menu Pomoc → Sprawdź aktualizacje, lub ręcznie pobierając instalator ze oficjalnej strony Adobe. W biuletynie bezpieczeństwa nie podano żadnego tymczasowego obejścia — jedyna ochrona na moment publikacji: instalacja poprawki.
Zalecenia dla specjalistów ds. cyberbezpieczeństwa i programistów
Aby zmniejszyć ryzyko przy pracy z dokumentami PDF z niewiarygodnych źródeł, należy:
- Otwierać podejrzane pliki w izolowanym środowisku (np. maszynie wirtualnej bez dostępu do sieci);
- Wyłączać wykonywanie JavaScript w ustawieniach Acrobat Reader, jeśli funkcjonalność nie jest potrzebna;
- Używać rozwiązań EDR/XDR z możliwością monitorowania wywołań API typu
util.readFileIntoStream(); - Skonfigurować systemy SIEM do wykrywania nietypowych odwołań do lokalnych plików z procesów
AcroRd32.exelubAdobe Acrobat Reader.app.
Ważne jest zrozumienie, że nawet „prosty podgląd” PDF może stać się punktem wejścia dla grup APT, zwłaszcza jeśli dokument przyszedł e-mailem od nieznanego nadawcy.
Co ważne
- Luka CVE-2026-34621 pozwala omijać sandbox Acrobat Reader za pośrednictwem API JavaScript.
- Atak nie wymaga interakcji użytkownika — wystarczy otworzyć PDF.
- Wykorzystywane są metody
util.readFileIntoStream()iRSS.addFeed()do kradzieży danych i ładowania ładunku. - Rzeczywiste ataki celują w sektor naftowo-gazowy z użyciem rosyjskojęzycznych przynęt.
- Jedyna ochrona — natychmiastowa aktualizacja do poprawionych wersji.
— Editorial Team
Brak komentarzy.