Powrót do strony głównej

Luka w Adobe Acrobat Reader: kradzież plików przez PDF

Analiza krytycznej luki CVE-2026-34621 w Adobe Acrobat Reader, umożliwiającej ominięcie sandboxa i kradzież plików przez JavaScript API. Opisano mechanizmy eksploatacji, dotknięte wersje i rekomendacje ochrony.

Jak hakerzy kradną pliki przez PDF w Adobe Reader
Advertisement 728x90

Luka zero-day w Adobe Acrobat Reader: jak wykorzystywano API JavaScript do kradzieży plików

Adobe usunęło krytyczną lukę CVE-2026-34621 w Acrobat Reader, która pozwalała złośliwym plikom PDF omijać sandbox i wykonywać dowolny kod bez interakcji z użytkownikiem. Exploit wykorzystywał uprzywilejowane API JavaScript do odczytywania lokalnych plików i ładowania dodatkowych ładunków — wszystko to następowało po prostu po otwarciu dokumentu.

Mechanizm ataku za pośrednictwem API JavaScript

Luka wynikała z niewystarczającej izolacji między środowiskiem wykonywania JavaScript w PDF a systemem głównym. Chociaż Acrobat Reader stosuje sandbox do ograniczania działań skryptów, badacze odkryli, że pewne metody API pozostawały dostępne nawet w ograniczonym kontekście. Dwie kluczowe metody stały się podstawą exploita:

  • util.readFileIntoStream() — pozwala na odczytywanie zawartości dowolnych plików na lokalnym systemie plików;
  • RSS.addFeed() — służy do dodawania zewnętrznych kanałów RSS, ale w tym przypadku napastnicy używali jej do wyciągania danych i pobierania dodatkowego kodu z zdalnego serwera.

Połączenie tych funkcji umożliwia nie tylko kradzież poufnych plików (np. C:\Users\...\credentials.txt), ale także załadowanie drugiej fazy ataku — na przykład shellcode'u lub backdoora.

Google AdInline article slot

Odkrycie i analiza exploita

Próbka złośliwego PDF o nazwie yummy_adobe_exploit_uwu.pdf została wysłana do systemu EXPMON 26 marca 2026 roku. Chociaż plik pojawił się w VirusTotal już 23 marca, tylko pięć z 64 rozwiązań antywirusowych rozpoznało go jako zagrożenie. Świadczy to o wysokim stopniu obfuskacji i nowości techniki eksploatacji.

Haifei Li, założyciel EXPMON, uruchomił ręczną analizę po wyzwoleniu funkcji „głębokiego wykrywania” — specjalnego modułu opracowanego właśnie do identyfikacji złożonych exploitów w Adobe Reader. Analiza potwierdziła użycie luki zero-day, aktywnej co najmniej od grudnia 2025 roku.

Równolegle badacz bezpieczeństwa Gi7w0rm odkrył rzeczywiste ataki skierowane na rosyjskojęzyczne organizacje w sektorze naftowo-gazowym. Jako przynęty używano dokumentów o tematyce branżowych przetargów lub specyfikacji technicznych, co zwiększało prawdopodobieństwo otwarcia pliku przez docelową grupę odbiorców.

Google AdInline article slot

Dotknięte wersje i aktualizacje

Adobe wydało pilne poprawki dla następujących produktów:

  • Acrobat DC — wersje do 26.001.21367 (poprawka: 26.001.21411);
  • Acrobat Reader DC — wersje do 26.001.21367 (poprawka: 26.001.21411);
  • Acrobat 2024 — wersje do 24.001.30356 (poprawka: 24.001.30362 dla Windows, 24.001.30360 dla macOS).

Aktualizację zaleca się wykonać przez menu Pomoc → Sprawdź aktualizacje, lub ręcznie pobierając instalator ze oficjalnej strony Adobe. W biuletynie bezpieczeństwa nie podano żadnego tymczasowego obejścia — jedyna ochrona na moment publikacji: instalacja poprawki.

Zalecenia dla specjalistów ds. cyberbezpieczeństwa i programistów

Aby zmniejszyć ryzyko przy pracy z dokumentami PDF z niewiarygodnych źródeł, należy:

Google AdInline article slot
  • Otwierać podejrzane pliki w izolowanym środowisku (np. maszynie wirtualnej bez dostępu do sieci);
  • Wyłączać wykonywanie JavaScript w ustawieniach Acrobat Reader, jeśli funkcjonalność nie jest potrzebna;
  • Używać rozwiązań EDR/XDR z możliwością monitorowania wywołań API typu util.readFileIntoStream();
  • Skonfigurować systemy SIEM do wykrywania nietypowych odwołań do lokalnych plików z procesów AcroRd32.exe lub Adobe Acrobat Reader.app.

Ważne jest zrozumienie, że nawet „prosty podgląd” PDF może stać się punktem wejścia dla grup APT, zwłaszcza jeśli dokument przyszedł e-mailem od nieznanego nadawcy.

Co ważne

  • Luka CVE-2026-34621 pozwala omijać sandbox Acrobat Reader za pośrednictwem API JavaScript.
  • Atak nie wymaga interakcji użytkownika — wystarczy otworzyć PDF.
  • Wykorzystywane są metody util.readFileIntoStream() i RSS.addFeed() do kradzieży danych i ładowania ładunku.
  • Rzeczywiste ataki celują w sektor naftowo-gazowy z użyciem rosyjskojęzycznych przynęt.
  • Jedyna ochrona — natychmiastowa aktualizacja do poprawionych wersji.

— Editorial Team

Advertisement 728x90

Czytaj dalej