リサーチャーが、現在アクティブに悪用されていると思われるAdobe Readerのゼロデイ脆弱性を発見しました。
Haifei Liは、彼が説明する洗練されたPDFエクスプロイトを調査するために、サイバーセキュリティコミュニティに支援を求めています。
Liは、過去20年間にわたってFortinet、Microsoft、McAfee、Check Pointで働いた評判の良いリサーチャーです。彼はExpmonの創設者兼開発者で、ファイルベースのゼロデイおよび他のエクスプロイトを検出するために設計されたサンドボックスベースのシステムです。
新しいReaderエクスプロイトはExpmonによって検出され、分析により、特定されたPDFは「様々な種類の情報を収集して漏洩する能力を持つ初期エクスプロイトとして機能し、その後にリモートコード実行(RCE)とサンドボックスエスケープ(SBX)エクスプロイトが続く可能性がある」ことが示されました。
攻撃がAdobe Readerの最新バージョンに対して機能することが確認されているため、リサーチャーはPDFがゼロデイ脆弱性を悪用していると信じています。
Liは、特定されたエクスプロイトが侵害されたシステムからユーザーおよび他のデータを収集することを確認していますが、完全な攻撃チェーンを再現し、サンドボックスエスケープまたはリモートコード実行に使用される可能性のある追加のペイロードを取得することはできませんでした。
SecurityWeekはAdobeに連絡を取っていますが、同社が4月7日前後にのみエクスプロイトの詳細を受け取ったことを考えると、評価に関する情報を共有するのに時間がかかる可能性があります。
潜在的なゼロデイを狙ったエクスプロイトはExpmonとVirusTotalの両方に提出されています。VirusTotal上で特定されたあるサンプルは2025年11月に提出され、脆弱性が少なくとも4ヶ月間悪用されていたことを示しています。
エクスプロイトをレビューした1人の脅威インテリジェンスアナリストは、悪意のあるPDFがロシア語のおとり文句を含んでおり、ロシアの石油ガスセクターの現在のイベントを参照していることに気づきました。
Adobeは、重大なコード実行の欠陥を含む、最近数年間のいくつかのReaderおよびAcrobat脆弱性の報告について、Liに信用を与えています。
しかし、2024年に発見され、CVE-2024-41869として追跡されるReader脆弱性の場合、Liがバグを武器化しようとしたと思われるPDFに遭遇したと報告した後、Adobeは野生での悪用を確認していません。
翻訳元: https://www.securityweek.com/adobe-reader-zero-day-exploited-for-months-researcher/
