Обнаружен PDF-эксплойт для Adobe Reader, использующий уязвимость нулевого дня для сбора данных и подготовки к удалённому выполнению кода

В основе атаки лежит изощрённое злоупотребление привилегированными API Acrobat. После открытия документа запускается обфусцированный JavaScript-код, который выполняет две ключевые функции. Во-первых, он собирает детальную информацию о системе жертвы: языковые настройки, точную версию операционной системы и Adobe Reader, а также локальный путь к файлу. Для этого, в частности, используется API "util.readFileIntoStream()", позволяющий читать произвольные файлы, доступные песочнице Reader. Во-вторых, собранные данные отправляются на управляемый злоумышленником сервер с IP-адресом 169.40.2[.]68 через порт 45191. Для коммуникации используется API "RSS.addFeed()", который имитирует подписку на RSS-ленту, что может помочь в обходе сетевых систем обнаружения вторжений (IDS).

Особенность этой атаки заключается в её модульности и целеполагании. Полученные с компьютера жертвы данные, по сути, являются расширенным цифровым отпечатком (fingerprinting). На их основе сервер атакующего может принять решение о дальнейших действиях. Если система соответствует определённым, неизвестным нам критериям, сервер может вернуть в ответ дополнительный JavaScript-код, который будет автоматически выполнен в контексте Adobe Reader. Как показали тесты исследователей, этот механизм позволяет реализовать сценарий удалённого выполнения кода (RCE, Remote Code Execution) или даже побега из песочницы (SBX, Sandbox Escape). В ходе анализа эксперты подтвердили, что, подменив сервер на контролируемый, они успешно заставили Reader выполнить произвольную команду, а также украсть содержимое локальных файлов, включая системные библиотеки.

При этом в ходе тестов сам сервер злоумышленника не отправил финальную полезную нагрузку для RCE. Это может указывать на то, что исследовательская среда не прошла "отбор" или что атака настроена на конкретные, узкие цели. Однако сам факт существования такого канала для эскалации привилегий и кражи данных уже является критической угрозой. Система EXPMON изначально классифицировала образец как подозрительный с помощью специальной функции "глубинного обнаружения" (detection-in-depth), разработанной для противодействия сложным угрозам для Acrobat. Данная функция, сработавшая 26 марта, инициировала ручной анализ, который и выявил всю серьёзность угрозы.

Главный вывод для бизнеса и ИТ-специалистов очевиден: уязвимость является активной и работает на актуальных версиях софта. Пока компания Adobe не выпустит официальный патч, пользователям Adobe Reader следует проявлять крайнюю осторожность при открытии PDF-файлов из непроверенных источников, особенно в корпоративной среде, где утечка системной информации может стать первым шагом к масштабному взлому. Для временной защиты можно блокировать исходящие соединения на указанный IP-адрес злоумышленника, однако это не остановит атаки с другой инфраструктуры. Более надёжным индикатором может служить мониторинг сетевого трафика, в заголовке User-Agent которого содержится строка "Adobe Synchronizer" - именно так маскируется вредоносная активность данного эксплойта.

Инцидент подчёркивает важность многослойной защиты и проактивного мониторинга. Традиционные антивирусные решения, судя по низкому уровню детекта на VirusTotal, с подобными сложными угрозами справляются плохо. Необходимы системы, способные анализировать поведение приложений в глубину, выявляя аномальное использование легитимных API. Исследователи уже уведомили Adobe Security о найденных проблемах, и теперь сообществу остаётся ждать исправлений, оставаясь начеку. Подобные случаи - яркое напоминание о том, что даже самые распространённые и, казалось бы, надёжные приложения могут стать лазейкой для опытных противников, а безопасность - это непрерывный процесс, а не разовая настройка.

IPv4 Port Combinations

• 169.40.2.68:45191