Des chercheurs en sécurité ont mis au jour une vulnérabilité zero-day dans Adobe Reader, exploitée depuis au moins décembre dernier à travers des documents PDF malveillants. Haifei Li, le fondateur de la plateforme de détection d’exploits basée sur des environnements isolés, EXPMON, a averti que ces attaques utilisaient un exploit PDF sophistiqué de style « empreinte digitale » ciblant une faille de sécurité non spécifiée dans Adobe Reader.
Selon Li, ces attaques visent les utilisateurs d’Adobe depuis quatre mois, permettant aux assaillants de dérober des données grâce aux API util.readFileIntoStream et RSS.addFeed d’Acrobat, tout en déployant des exploits additionnels.
Li a précisé que cet exploit, qui nécessite simplement d’ouvrir un fichier PDF pour s’activer, est capable non seulement de collecter des informations locales, mais également de lancer des attaques de type RCE ou SBX, potentiellement en prenant le contrôle total du système de la victime.
Haifei Li est connu pour avoir dénoncé de nombreuses vulnérabilités dans des logiciels de grandes entreprises telles que Microsoft, Google et Adobe, plusieurs d’entre elles ayant été utilisées dans des attaques zero-day.
Péraphores en langue russe
Un analyste en renseignement sur les menaces, connu sous le pseudonyme de Gi7w0rm, a également examiné cet exploit et a constaté que les documents PDF impliqués contiennent des leurres en langue russe, se rapportant à des événements actuels dans l’industrie pétrolière et gazière russe.
Li a informé Adobe de ces découvertes et a conseillé aux utilisateurs d’Adobe Reader de ne pas ouvrir de fichiers PDF provenant de contacts non fiables jusqu’à ce qu’une mise à jour de sécurité soit publiée pour combler cette vulnérabilité activement exploitée.
Les défenseurs de réseau peuvent également atténuer les attaques exploitant cette vulnérabilité zero-day en surveillant et en bloquant le trafic HTTP/HTTPS contenant la chaîne « Adobe Synchronizer » dans l’en-tête User-Agent.
Li a souligné que cette capacité pour une collecte d’informations généralisée et la possibilité d’exploitation ultérieure de type RCE/SBX justifient que la communauté de la sécurité reste en alerte. C’est pourquoi ces découvertes ont été publiées rapidement pour sensibiliser les utilisateurs.
BleepingComputer a également contacté Adobe concernant les révélations de Li, mais n’a pas reçu de réponse immédiate.