Компания Adobe выпустила исправление для уязвимости нулевого дня в Acrobat и Reader, которую злоумышленники эксплуатировали в течение нескольких месяцев.
Патч, выпущенный 11 апреля, устраняет проблему CVE-2026-34621 — критическую уязвимость в Acrobat и Reader для Windows и macOS, которая может привести к произвольному выполнению кода. Проще говоря, вредоносный PDF-файл мог скомпрометировать систему просто при открытии.
В своем уведомлении Adobe заявила, что ей «известно об эксплуатации CVE-2026-34621 в реальных условиях», что одним предложением выполняет значительную работу по восстановлению репутации. До этого момента компания публично не признавала даже существование этой ошибки, не говоря уже о том, что злоумышленники активно ею пользовались.
Патч появился через пару дней после того, как внешние отчеты вывели эту кампанию в центр внимания.
Вредоносные документы активно использовали сильно обфусцированный JavaScript, работающий через легитимные API Acrobat, для сбора системной информации с хоста. На основе полученных данных вредоносное ПО могло решить, стоит ли проводить дальнейшую эскалацию, загружая полезную нагрузку второго этапа, способную к удаленному выполнению кода или выходу из «песочницы» Reader.
Некоторые цели подвергались лишь сбору информации о системе (фингерпринтингу), в то время как другие готовились к более глубокой компрометации. Такой подход к сортировке указывает на целенаправленную кампанию, а не на спонтанный спам, что соответствует приманкам, замеченным исследователями. Некоторые документы были написаны на русском языке и содержали отсылки к тематике нефтегазового сектора, что намекает на более узкий круг жертв, не указывая при этом прямо на ответственных.
По данным исследователей, свидетельства указывают на то, что вредоносная активность прослеживается как минимум до конца 2025 года, что дало атакующим комфортный временной задел в несколько месяцев. В течение этого времени эксплойт маскировался под обычное поведение Reader, обходя традиционные средства защиты, настроенные на обнаружение известных сигнатур или очевидного неправомерного поведения.
Патч закрывает брешь, но не отменяет произошедшего. Любой, кто открыл вредоносный PDF в этот период, мог быть уже профилирован или пострадать сильнее, в зависимости от того, насколько интересен он оказался для злоумышленника. Adobe не сообщила, сколько пользователей могло быть затронуто, как был обнаружен этот недостаток внутри компании, или почему признание отстало от публичных сообщений. Компания до сих пор не ответила на вопросы The Register.
Возможно, Adobe и закрыла дверь, но не раньше, чем через нее успело пройти немало людей. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page
