A hiba különösen veszélyes, mert már egy PDF megnyitása is elegendő a fertőzéshez, nincs szükség további felhasználói interakcióra.
Súlyos kiberbiztonsági figyelmeztetés érkezett: egy új, aktívan kihasznált zero-day sérülékenységet fedeztek fel az Adobe Reader rendszerében, amely már 2025 óta támadások célpontja lehet.
Rejtett fenyegetés a PDF fájlokban
A sérülékenységet Haifei Li biztonsági kutató fedezte fel az EXPMON platform segítségével.
A probléma az Adobe Reader JavaScript motorjában található, egy logikai hibából ered, amely megkerüli a beépített biztonsági korlátozásokat. Ez lehetővé teszi, hogy a támadók kilépjenek a sandbox környezetből, és hozzáférjenek a rendszer érzékeny funkcióihoz.
Hogyan működik a támadás?
A támadás speciálisan elkészített PDF fájlokra épül, például a „yummy_adobe_exploit_uwu.pdf” mintára.
A folyamat során a felhasználó megnyitja a PDF-et, a rejtett JavaScript kód lefut, majd a sérülékenységet kihasználva hozzáfér védett API-khoz és fájlokat olvas a rendszerből.
Mit tudnak ellopni?
A támadók képesek tetszőleges fájlok olvasására, rendszerkönyvtárak elérésére és érzékeny adatok megszerzésére. A támadás során a util.readFileIntoStream() API segítségével lokális fájlokhoz férnek hozzá, amelyeket továbbíthatnak saját szervereikre.
Távoli vezérlés is lehetséges
A PDF kapcsolatot létesíthet támadói szerverrel, így további kódot tölthet le és újabb támadásokat indíthat. Ehhez például az RSS.addFeed() funkciót használhatják, amely egy rejtett kommunikációs csatornát biztosít.
Célzott támadás jelei
A kártevő PDF rendszerinformációkat gyűjt, például operációs rendszer verziót, nyelvi beállításokat és a Reader verzióját. Ez arra utal, hogy a támadás célzott lehet, és csak bizonyos áldozatok ellen aktiválódik, ami jellemző az APT típusú támadásokra.
Már hónapok óta aktív lehet
A kutatók szerint a sérülékenység már 2025 decembere óta kihasználás alatt állhat, így akár több hónapig észrevétlen maradhatott, és ismeretlen számú rendszer érintett.
Alacsony felismerési arány
A fertőzött fájl a VirusTotal rendszerében is megjelent, de mindössze 5 a 64-ből biztonsági motor jelezte veszélyesnek. Ez rendkívül alacsony felismerési arány, ami azt jelzi, hogy a támadás könnyen elkerülheti a hagyományos védelmi megoldásokat.
Nincs még javítás
A sérülékenységet jelentették az Adobe felé, azonban jelenleg még nincs hivatalos javítás. További aggodalomra ad okot, hogy már egy második exploit variáns is megjelent, ami arra utal, hogy a támadók aktívan fejlesztik a módszert.
Miért különösen veszélyes a PDF?
A PDF formátum széles körben használt, gyakran érkezik e-mailben, és sokan biztonságosnak gondolják, ezért ideális támadási felület.
Hogyan védekezz?
Ne nyiss meg ismeretlen forrásból származó PDF fájlokat, különösen e-mailből érkezőket. Érdemes sandbox környezetben megnyitni a dokumentumokat, friss vírusvédelmet használni, és ha lehetséges, letiltani a JavaScript futtatását a PDF olvasóban. A hálózati forgalom monitorozása szintén segíthet a gyanús aktivitás felismerésében.
Összegzés
Ez a zero-day sérülékenység rendkívül veszélyes, mivel egyetlen PDF megnyitása elegendő lehet adatlopáshoz és rendszer kompromittálásához. Amíg nem érkezik hivatalos javítás, a legfontosabb védelem a tudatos és óvatos felhasználói magatartás.
