Уязвимость CVE-2026-34621 в Adobe Acrobat Reader позволяет закрепиться в системе после одного открытия PDF

Уязвимость была обнаружена экспертами из EXPMON, которые вскоре после обнаружения передали образец для анализа в лабораторию. В ходе детального разбора выяснилось, что корень проблемы лежит в обработчике JavaScript в Adobe Reader. Движок некорректно обрабатывает свойства глобального объекта "Object.prototype" при разборе структуры PDF. Атакующий может модифицировать прототип, что позволяет выполнить произвольный код в контексте приложения.

Adobe официально подтвердила уязвимость 11 апреля 2026 года в бюллетене APSB26-43. В списке затронутых продуктов значатся все версии Reader для Windows, выпущенные до указанной даты. На момент выхода бюллетеня компания уже подготовила исправление.

Особый интерес представляет цепочка заражения. Вредоносный PDF-файл содержит скрытое поле формы с именем "btn1", в котором хранится закодированная полезная нагрузка. JavaScript, встроенный в документ, извлекает эту строку, декодирует её из Base64 и выполняет через "eval". Однако это лишь первый этап. Далее загружается дополнительный код с командного сервера. В ходе исследования был выявлен C2-адрес "169.40.2.68:45191".

После выполнения загрузчик проверяет окружение: архитектуру, версию Windows и выпуск Adobe Reader. Атака нацелена исключительно на 64-битные системы под управлением Windows 10 с Reader версии не ниже 21.001.20138. Если условия не соблюдены, скрипт завершает работу без внешних проявлений. Если же условие выполнено, вредоносная программа собирает данные об окружении и отправляет их на сервер.

Самое тревожное свойство этой атаки - устойчивость. Исследователи заметили, что даже после закрытия PDF-файла, а затем и после полной перезагрузки системы, при последующем запуске Adobe Reader на экране снова появляется диалоговое окно, сформированное тестовой нагрузкой. Это указывает на то, что код сумел закрепиться в процессах Reader или изменить его конфигурацию. Как сообщили аналитики в своей публикации, они не смогли полностью избавиться от повторного появления всплывающих окон, пока не удалили все временные файлы Reader и не очистили реестр Windows.

Эксперты связывают такое поведение с возможной модификацией объекта "app" в Adobe Acrobat Reader через прототипное загрязнение. После выполнения первого запуска злоумышленник может установить свою функцию в качестве обработчика событий, которая срабатывает при каждом запуске приложения, даже без открытия вредоносного PDF.

Полезная нагрузка после загрузки с C2 дополнительно шифруется с помощью AES и сжимается алгоритмом zlib. Только после расшифровки и распаковки код исполняется. Это делает анализ трафика затруднительным, так как на этапе заражения передаётся лишь зашифрованный блок данных.

Атака, по-видимому, носит целевой характер. Система проверок на версию Reader и платформу отсекает случайные жертвы. Однако сам факт использования уязвимости в реальных атаках означает, что злоумышленники уже имеют рабочий эксплойт. Специалистам по безопасности рекомендуется в первую очередь установить обновление из бюллетеня APSB26-43. Дополнительно стоит отключить выполнение JavaScript в настройках Adobe Reader, если это допустимо в рабочем процессе. Также полезно контролировать исходящие соединения от процесса "AcroRd32.exe" на порт 45191.

Этот инцидент ещё раз напоминает, что даже широко используемые средства для работы с документами могут стать точкой входа для сложных атак. Простое открытие PDF-файла способно привести не только к краже данных, но и к постоянному присутствию злоумышленника в системе, избавиться от которого без полной переустановки приложения оказывается нетривиальной задачей.

URLs

• http://169.40.2.68:45191/

SHA256

• 65dca34b04416f9a113f09718cbe51e11fd58e7287b7863e37f393ed4d25dde7