ソース: PJ McDonnell via Shutterstock
Adobeは、攻撃者が最初に悪用を開始してからほぼ4ヶ月後に、Windows版とmacOS版の最新バージョンのAcrobatおよびReaderの任意コード実行脆弱性をパッチしました。
CVE-2026-34621として割り当てられた高い重大度の脆弱性には、CVSSスコア8.6があり、不正な入力検証と不安全なオブジェクト属性の処理の組み合わせに起因しています。この欠陥は最初にCVSSスコア9.6が割り当てられていましたが、Adobeは後でそれを修正しました。
Adobeの欠陥に投下された高度なペイロード
EXPMON悪用検出システムの創立者および開発者である独立したセキュリティ研究者Haifei Liは、脆弱性を発見しました。3月26日にプラットフォームに匿名でアップロードされた悪意のあるPDFを分析した際に発見しました。ファイルの分析により、その時点でパッチが当たっていなかったAdobe AcrobatおよびReaderのゼロデイ欠陥に対する「高度に洗練されたPDF悪用」であることが示されました。
彼の初期の調査では、悪質なPDFが実際には公開の脅威共有プラットフォームVirusTotal上で3月23日以来、ほぼ気づかれずに存在していたことが示されました。64個のセキュリティツールのうち5つだけがそれを疑わしいものとしてフラグを立てていました。後に、彼は誰かが2025年11月28日までさかのぼるマルウェアの別のバージョンをVirusTotalにアップロードしたことを発見し、この欠陥を対象とした攻撃がその時点から少なくとも継続していることを示唆しています。
Liは、攻撃者がユーザーにPDFを開くだけで追加のクリックや許可なしにCVE-2026-34621をトリガーできることを発見しました。トリガーされると、仕掛けられたPDFファイルは被害者のシステムを無言でフィンガープリントし、さらに攻撃する価値があるかどうかを決定します。
“このサンプルは、様々な種類の情報を収集および流出させる機能を持つ初期の悪用として機能し、その後にリモートコード実行(RCE)およびサンドボックスエスケープ(SBX)悪用が続く可能性があります。” とLiは最近彼のブログに書きました。 “Adobe Readerの特権Acrobat APIを実行できるゼロデイ/パッチなし脆弱性を悪用し、Adobe Readerの最新バージョンで動作することが確認されています。”
Adobe問題を認めました。4月11日の勧告で、欠陥が野生で悪用されたことを確認しました。同社は影響を受けたソフトウェアの更新版をリリースし、脆弱性を対象とした継続的な悪用活動を引用して、組織にそれらに更新するよう促しました。
“この問題の悪用には、被害者が悪質なファイルを開く必要があるユーザーインタラクションが必要です。” によると、CVE-2026-34621のNISTの国立脆弱性データベース(NVD)での説明。
ステルス偵察
PDFの内部に隠された高度に難読化されたマルウェアは、Liによると、被害者がファイルを開くとすぐに実行されます。 Adobe Reader APIメカニズムを使用して、まずオペレーティングシステムの詳細、ソフトウェアバージョン、言語設定、ファイルパスを含む被害者の環境に関する詳細情報を収集します。完全なペイロードをすぐに展開するのではなく、マルウェアはシステムをスカウトして、静かに情報を収集し、それを攻撃者が管理するインフラストラクチャに分析のために送り返します。
偵察を可能にするだけでなく、マルウェアは同時に、侵害されたシステムから機密データにアクセスして抽出することができます。同じ基盤となるメカニズムを使用して、機密文書、システムデータ、その他の機密情報を含む可能性のあるローカルマシンからファイルを直接読み取ることができ、収集したすべてをリモートコマンドアンドコントロール(C2)サーバーに送信できます。したがって、攻撃者は被害者の環境の包括的な画像と、彼らのマシンに保存されているファイルへの直接アクセスの両方を獲得します。
テスト中、Liは攻撃者が関心のあるシステムに展開するために開発した可能性のあるフォローアップ悪用を取得することができませんでした。しかし、攻撃コードのテストでは、セカンダリペイロードの配信メカニズムが完璧に機能していることが示されました。つまり、攻撃者はAdobe Readerの影響を受けるバージョンに追加のリモートコード実行(RCE)またはサンドボックスエスケープ(SBX)悪用を実行できることを意味しています。
“このエクスプロイトにより、脅威行為者は地元の情報を収集/盗むだけでなく、その後のRCE/SBX攻撃を潜在的に開始することができ、これにより被害者のシステムの完全な制御につながる可能性があります。” と彼は書きました。
Adobeと同様に、Malwarebytesが推奨しました。組織が新しくパッチされたバージョンにできるだけ早く更新することを。何らかの理由でそうする能力がない、または不本意な組織は、不明なソースからのPDFや予期しない添付ファイルを処理する際に「特に注意深い」である必要があります。Malwarebytesはアドバイスしました。組織は、セキュリティベンダーによると、ユーザーエージェント領域の’Adobe Synchronizer”文字列に対してすべてのHTTP/HTTPSトラフィックを監視する必要があります。
Adobe AcrobatとReaderは頻繁なターゲットです。広いインストールベースとオペレーティングシステムレベル機能との深い統合のため攻撃者のためのものです。脅威行為者は長年にわたってPDFを攻撃配信メカニズムとして使用してきました。国家が後援するキャンペーン、ランサムウェア操作、ターゲット指定フィッシング、その他の悪質な活動を含む。そのような攻撃は、組織がAdobe製品の脆弱性のタイムリーなパッチを優先し、一般的にファイルベースの脅威を監視する必要があることを長い間強調してきました。
翻訳元: https://www.darkreading.com/application-security/adobe-patches-actively-exploited-zero-day
