セキュリティ研究者のHaifei Liが発見したところによると、未知の攻撃者は2025年11月以降、さらには以前から、Adobe Acrobat Readerのゼロデイ脆弱性を悪用しています。
PDFファイルがエクスプロイトを実行
Haifei LiはEXPMONの開発者の一人で、これは高度なファイルベースのエクスプロイトを検出するためのサンドボックスベースのサイバーセキュリティシステムです。これは公開ウェブインターフェースまたはAPIを通じて提出された疑わしいファイルを分析することで実現します。
「数週間前の3月26日、誰かがEXPMONにPDFサンプルを提出しました。このサンプルは提出者によって’yummy_adobe_exploit_uwu.pdf’という名前がつけられていましたが、EXPMONの高度な’検出の深さ’機能の1つをトリガーしました」と、Liは火曜日に公開されたポストで説明しました。
同じサンプルが数日前にVirusTotalに提出されていたとのことです。別のセキュリティ研究者もVirusTotal上でサンプルのバリアントにフラグを立てており、それは2025年11月28日に最初に提出されました。
最初のPDFサンプルのLiの分析により、ファイルが開かれると、ファイルに含まれている難読化されたJavaScriptコードを実行しようとすることが明らかになりました。
スクリプトはローカルシステムから様々な情報(言語設定、OSバージョン、Adobe Readerのバージョン番号、PDFファイルのローカルパス)を収集し、攻撃者が管理するリモートサーバーに送信します。
また、攻撃者が管理するリモートサーバーから取得した追加のリモートコード実行またはサンドボックス脱出エクスプロイトを配信および実行することもできます。残念ながら、Liがサンプルを分析した時点では、サーバーはエクスプロイトを配信していませんでした。
「これはいくつかの要因による可能性があります。例えば、攻撃者のサーバーが私のIPアドレスを’ブロック’しているか、またはサーバーの条件を満たすために特定のローカル情報を提供する必要があったのかもしれません。これは高度なフィンガープリント攻撃に強く似ています」と彼は指摘しました。
テストによってリモートサーバーが追加エクスプロイトを配信および実行できることが証明されました(出典:Haifei Li)
マルウェア研究者のGiuseppe Masaroが両方のサンプルを分析し、両方のPDFがロシア語のドキュメント(画像としてレンダリング)を視覚的なデコイとして表示していること、またコンテンツ(ガス供給の中断と緊急対応)が、意図された対象がロシア語話者であること、おそらく政府、エネルギーセクター、またはインフラ組織にあることを示唆していることを指摘しました。
修正が公開されるまでの対処方法
Liは、罠が仕掛けられたPDFファイルが開かれるとエクスプロイトが実行されると述べており、入手可能な最新のAcrobatバージョンで機能することを確認しています。
彼はAdobeに彼の発見を通知しましたが、同社はまだ悪用されている脆弱性を修正するセキュリティアップデートをリリースしていません。
それまでの間、ユーザーは信頼できない第三者から送信されたPDFファイルを開くことを避けるべきです。セキュリティチームは2つの攻撃者が管理するサーバー/IPアドレス(169.40.2.68と188.214.34.20)をブロックできます。さらに良いことに、彼らはUserAgentフィールドに「Adobe Synchronizer」文字列を含むすべてのhttp/httpsトラフィックをブロックするべきだとLiはアドバイスしています。
Masaroはセキュリティチームに対して、エンドポイント上で実行される特定の変更/アクション(例えば、AdobeCollabSync.exeが外部ネットワーク接続を行うこと、およびPDF JavaScriptがRSS.addFeed()またはutil.readFileIntoStream() APIを呼び出すこと)を監視するようアドバイスしました。
Adobeに詳細な情報について問い合わせており、彼らから返信があり次第この記事を更新します。
最新の侵害、脆弱性、サイバーセキュリティの脅威を見逃さないために、速報メールアラートにご登録ください。ここから登録!
翻訳元: https://www.helpnetsecurity.com/2026/04/09/acrobat-reader-zero-day-exploited/
