mobile-menu-icon
Sårbarheter

Adobe Reader zero-day utnyttjad i fyra månader före patch

Blog Reading Time 4 Lästid / april 9, 2026
Adobe Reader Zero-Day Exploited for Weeks Before Patch Existed

Angripare har haft tillgång till system i Adobe Reader i fyra månader innan intrånget upptäcktes. Zero-day-sårbarheten, som identifierades av EXPMON-forskaren Haifei Li, har utnyttjats aktivt sedan december 2025 genom manipulerade PDF-dokument. Exploiten kräver ingen användarinteraktion utöver att öppna en skadlig PDF-fil och fungerar på den senaste versionen av Adobe Reader utan någon patch ännu finns tillgänglig.

Sårbarheten utnyttjar privilegierade Acrobat API:er för att stjäla lokala filer och genomföra avancerad systemfingeravtryckning. Enligt BleepingComputer har angreppen riktat sig mot Adobe-användare i minst fyra månader. De har använt vad Li beskrev som en ”mycket sofistikerad PDF-exploit i fingeravtrycksstil” för att distribuera ytterligare exploiter efter den initiala datastölden.

Ryska oljeindustrilocken och selektiv målsökning

Hotanalytikern Gi7w0rm fann att PDF-dokument i dessa angrepp innehåller ryskspråkiga lockbeten som refererar till aktuella händelser inom den ryska olje- och gasindustrin. Den sofistikerade målinriktningen tyder på att inte rör som om opportunistisk skadlig kod, utan en fokuserad underrättelseinsamlingsoperation.

Skadlig kod använder kraftigt obfuskerad JavaScript inbäddad i PDF-objekt, för att dölja sina avsikter. När skriptet avkodats samlar det in detaljerad systeminformation, inklusive språkinställningar, version av Adobe Reader, operativsystemdetaljer samt den lokala filsökvägen för den öppnade PDF-filen. Denna data skickas till angriparkontrollerade servrar för att avgöra om den komprometterade enheten uppfyller specifika målkriterier.

EXPMON:s analys visar att exploiten utnyttjar två privilegierade Acrobat API:er: util.readFileIntoStream() för att läsa godtyckliga filer från offrets system, och RSS.addFeed() för att exfiltrera stulen data till fjärrservrar. I kontrollerade tester visade forskarna att exploiten kunde läsa filer från Windows system32-mappen och överföra dem till angriparens infrastruktur.

Upptäcktsundvikande och infrastrukturanalys

Den ursprungliga skadliga PDF:en, som laddades upp under filnamnet ”yummy_adobe_exploit_uwu.pdf”, fick endast 5 av 64 träffar på VirusTotal. Denna låga upptäcktsfrekvens visar hur traditionella antivirusmotorer har svårt för att identifiera avancerade expoitbaserade angepp som inte förlitar sig på konventionella malware-signaturer.

En forensisk analys på GitHub, utförd av forskaren N3mes1s, avslöjade att endast två prover finns i VirusTotals databas. Detta indikerar, enligt forskaren, en ”extremt låg volym, mycket riktad aktivitet”. Command and control-infrastrukturen uppvisar medveten operationell säkerhet, C2-lyssnaren på port 34123 har aldrig varit synlig för internetomfattande skanningar. Detta tyder på att servrarna antingen är brandväggsfiltrerade till specifika IP-intervall eller aktiveras vid behov när ett mål öppnar PDF:en.

Nätverksförsvarare rekommenderas att övervaka misstänkta HTTP-förfrågningar där User-Agent-strängen innehåller ”Adobe Synchronizer”, vilket exploiten använder för utgående kommunikation.

Ingen patch finns; meddelar Adobe

Li har rapporterat sårbarheten till Adobe, men ingen säkerhetsuppdatering finns ännu inte tillgänglig vid publiceringstillfället. Forskaren varnade för att exploitens ”fingeravtryckskapacitet för omfattande informationsinsamling och potentialen för efterföljande RCE/SBX-exploatering är tillräcklig för att säkerhetsgemenskapen ska förbli i högsta beredskap”.

Tills Adobe släpper en patch bör användare undvika att öppna PDF-dokument från opålitliga källor. Säkerhetsteam rekommenderas också att skicka misstänkta PDF-prover till EXPMON:s publika analystjänst, som har visat förmågan att upptäcka avancerade exploitbaserade PDF-angrepp som kan undgå traditionella verktyg för upptäckt av skadlig kod.

Detta är det senaste i en rad zero day-sårbarheter i Adobe Reader som utnyttjats i skarp drift. Tidigare incidenter inkluderar CVE-2023-26369 och CVE-2023-21608, som båda lades till i CISA:s katalog över kända utnyttjade sårbarheter efter att aktiv exploatering bekräftats.

Referenser

  1. BleepingComputer: Hackers exploiting Acrobat Reader zero-day flaw since December
  2. Cyber Press: Hackers Target Adobe Reader Users with Sophisticated Zero-Day Exploit
  3. GitHub: Adobe Reader Zero-Day PDF Exploit – Full Forensic Analysis
  4. GBHackers: Hackers Target Adobe Reader Users With Sophisticated Zero-Day Exploit
  5. Cybersecurity News: Hackers Actively Attacking Adobe Reader Users Using Sophisticated 0-Day Exploit

This post is also available in: English

Related News

BlueHammer Windows Zero-Day Exploited Six Weeks Before Microsoft Knew

BlueHammer Windows zero-day utnyttjad sex veckor innan Microsoft visste

Cyber News Calendar icon april 9, 2026
Ninja Forms File Upload Flaw Lets Attackers Hijack 50,000 WordPress Sites

Kritisk sårbarhet i Ninja Forms hotar 50 000 WordPress-sajter

Cyber News Calendar icon april 8, 2026
Chrome Zero-Day CVE-2026-2441 Exploited in Wild as Google Ships Emergency Patch

Chrome zero-day CVE-2026-2441 exploateras aktivt – Google släpper akutuppdatering

Cyber News Calendar icon februari 16, 2026

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss