Via een kwetsbaarheid in Adobe Acrobat Reader kunnen aanvallers volledige systemen overnemen.
Adobe heeft in Acrobat Reader te maken met een kritieke kwetsbaarheid die al maanden actief wordt misbruikt via geïnfecteerde PDF-bestanden. Onderzoekers waarschuwen dat aanvallers hiermee mogelijk volledige controle kunnen krijgen over systemen.
Aanval start met één PDF
De kwetsbaarheid wordt uitgebuit via speciaal aangepaste PDF-documenten. Van zodra een gebruiker zo’n bestand opent, kan de aanval starten zonder verdere interactie. Dat maakt het risico bijzonder groot, omdat één klik voldoende is om een systeem te compromitteren. Volgens onderzoeker Haifei Li gaat het om een geavanceerde “fingerprinting”-exploit die specifiek inspeelt op de omgeving van het slachtoffer om de aanval te optimaliseren.
De aanval maakt misbruik van interne functies binnen Adobe Reader om gevoelige data te verzamelen. Daarbij worden onder meer lokale bestanden uitgelezen via API’s. De kwetsbaarheid kan ook dienen als opstap naar uitgebreidere aanvallen, zoals remote code execution (RCE) of sandbox-escapes. Ook dan kunnen aanvallers het volledige systeem overnemen.
Gerichte phishingcampagnes
De kwaadaardige PDF’s worden verspreid via phishing, met lokmiddelen in het Russisch die verwijzen naar de olie- en gassector. Dat wijst op gerichte aanvallen, al is de kwetsbaarheid technisch breed inzetbaar. De aanval zou al sinds december actief zijn en Adobe is op de hoogte gebracht, maar heeft voorlopig nog geen beveiligingsupdate uitgebracht. Daardoor blijft het lek een actieve zero day, zonder directe oplossing voor gebruikers.
Tot er een patch is, luidt het advies simpel maar streng: open geen PDF-bestanden van onbekende of onbetrouwbare bronnen.