安全研究员 Haifei Li 报告称,自去年 12 月起有人利用 Adobe Acrobat Reader 零日漏洞发动攻击,攻击至少持续 4 个月。攻击者通过滥用 Acrobat API(如 util.readFileIntoStream、RSS.addFeed 等)从受感染设备窃取数据,并部署后续利用代码。该零日可在最新版 Acrobat Reader 生效,受害者仅需打开恶意 PDF 即触发,无需额外交互,可能进一步导致远程代码执行或沙箱逃逸以完全控制主机。分析者发现传播样本带有俄语诱饵,针对俄罗斯石油、天然气行业相关事件。研究员已向 Adobe 报告并建议在官方修复前勿打开来路不明的 PDF,同时可通过阻断 User-Agent 中含“Adobe Synchronizer”的 HTTP/HTTPS 流量作为缓解措施;Adobe 尚未回应。
4 月 10 日消息,据科技媒体 Bleeping Computer 昨天报道,安全研究员 Haifei Li 最近发现,有黑客从去年 12 月开始利用 Adobe Acrobat Reader 零日漏洞进行攻击。
Haifei Li 表示,黑客围绕 Adobe Acrobat Reader 的攻击至少已经持续 4 个月。相关人士利用 Acrobat API(IT之家注:如 util.readFileIntoStream、RSS.addFeed 等)从受感染设备窃取数据,并部署额外的漏洞利用代码。
这名研究员警告道:“本次发现的‘指纹识别’型攻击已被确认使用未修补零日漏洞,并且在最新版 Acrobat Reader 也能生效,用户只需要打开 PDF 文件,无需进行其他交互就会中招”。
“更令人担忧的是,这套漏洞不仅可以收集和窃取本地信息,还能进一步发起后续远程代码执行(RCE)或沙箱逃逸(SBX)攻击,进而完全控制受害者电脑”,Haifei Li 说道。
另一名漏洞分析师 Gi7w0rm 发现,本次攻击传播的 PDF 文档包含俄语诱导内容,涉及俄罗斯石油、天然气行业相关事件。
Haifei Li 已经将相关情况通报给 Adobe,并建议用户在官方发布紧急修复更新前,不要打开来路不明的 PDF 文件。
专业用户也可以手动阻止 User-Agent 头中包含“Adobe Synchronizer”字符串的 HTTP / HTTPS 流量,以缓解零日漏洞风险。
Bleeping Computer 后续就此事向 Adobe 质询,但目前暂未获得回应。