【PDF零日漏洞】黑客正在利用Adobe Reader零日漏洞窃取数据

Adobe Reader中新发现的一个零日漏洞正通过恶意PDF在野外被积极利用，攻击者得以通过指纹系统、窃取数据，并可能部署后续攻击。

该漏洞尚未被修补，影响了最新版本的Adobe Reader。

这一活动是在3月26日提交到EXPMON公开分析系统后发现的，当时他们提交了一份可疑的PDF样本。研究人员进行了人工分析，发现文档中嵌入了一个高度混淆的JavaScript漏洞。当PDF打开时，恶意代码会自动执行，无需额外的用户操作。通过解码多层混淆，研究人员确定该脚本滥用了在正常沙盒限制下不应访问的特权 Acrobat API。

攻击方式极其隐蔽且危险：

无需任何交互，用户只需打开一个恶意PDF文件，无需点击任何链接或按钮，攻击便会自动触发。攻击的核心是两个关键API：util.readFileIntoStream（） 和 RSS.addFeed（）。前者使PDF能够读取Adobe Reader沙箱中可访问的任意文件，包括敏感的系统文件。后者被用作隐蔽通信渠道，使恶意软件既能窃取收集的数据，也能从远程服务器获取额外负载。

• 利用合法API窃取数据：恶意PDF中嵌入了高度混淆的JavaScript代码，它滥用Adobe Reader内部的特权API（如 util.readFileIntoStream和 RSS.addFeed）来突破软件的安全沙盒。

• util.readFileIntoStream：允许攻击者读取受害者电脑上的任意文件，包括敏感的系统文件。

• RSS.addFeed：作为一个隐蔽的通信通道，将窃取的数据外传到攻击者控制的服务器（已知地址为169.40.2.68:45191）。

• 进行“指纹识别”：漏洞首先会收集详细的系统信息，如操作系统版本、语言设置、Adobe Reader版本和文件路径，以判断受害者是否为有价值的目标。

该漏洞会收集大量系统信息，包括受害者的操作系统版本、Adobe Reader版本、语言设置和文件路径。值得注意的是，它从文件中读取数据，如ntdll.dll，以获取精确的操作系统细节，这种技术常用于定制后续漏洞利用。这些信息会被传输到攻击者控制的服务器，地址为169.40.2.68：45191，可能会判断目标是否适合进一步攻破。

尽管最初的漏洞被证实对最新版本的Adobe Reader（26.00121367）有效，研究人员在测试过程中未能检索到疑似的次级有效载荷。然而，受控实验表明该基础设施可以提供额外的JavaScript，可用于实现远程代码执行（RCE）或沙箱逃逸（SBX）。在一次测试中，一个自定义服务器响应成功在Adobe Reader中执行了任意JavaScript，验证了攻击链的潜力。

利用演示

进一步测试还确认，该漏洞可以在无需额外负载的情况下窃取本地文件。研究人员修改样本，读取Windows system32目录中的.png文件并成功传输到远程服务器，凸显了即使系统未全面泄露，数据暴露风险依然严重。

用户应立即采取哪些防护措施？

由于Adobe官方尚未发布修复补丁，当前必须依靠临时缓解方案：

• 极度谨慎处理PDF文件：切勿打开来源不明、不可信或未经验证的PDF文件，尤其是通过邮件、即时通讯工具收到的陌生文件。

• 临时禁用JavaScript（最有效方法）：在Adobe Reader的“首选项”中，找到“JavaScript”设置，取消勾选“启用 Acrobat JavaScript”。这会阻止漏洞利用的核心环节。

• 使用替代阅读器：在补丁发布前，可临时使用浏览器内置的PDF阅读器或其它替代软件处理PDF文件。

• 网络层防护（适用于企业管理员）：

• 监控并尝试阻断发往IP地址 169.40.2.68、端口 45191的出站流量。

• 检查网络流量中，User-Agent字段是否包含 “Adobe Synchronizer”字符串，这可能是恶意通信的标志。

在Adobe发布针对该漏洞的安全更新之前，建议用户将来自不可信来源的所有PDF文件视为潜在的恶意文件。组织应考虑屏蔽已知攻击者基础设施，并监控网络流量是否有可疑迹象，例如包含“Adobe Synchronizer”用户代理字符串的HTTP请求。

这是一个危害等级高、正在真实世界被利用的零日漏洞。攻击链完整，从数据窃取到完全控制电脑的能力均已得到验证。所有Adobe Reader用户都应立即采取上述防护措施，并密切关注Adobe官方安全公告，待补丁发布后第一时间更新。

安情视界——洞见未来，智掌先机，持续追踪全球安全动态，精准解读政策与事件，深度预测研判趋势，护航企业全球化征程。