hu, 09 Apr 2026
← VoltarAtacantes desconhecidos exploraram uma vulnerabilidade de dia zero do Adobe Acrobat Reader em arquivos PDF desde pelo menos novembro de 2025.
Atacantes desconhecidos exploraram uma vulnerabilidade de dia zero do Adobe Acrobat Reader desde novembro de 2025 e possivelmente até antes, descobriu o pesquisador de segurança Haifei Li. Arquivos PDF carregam a exploração Haifei Li é um dos criadores do EXPMON, um sistema de segurança cibernética baseado em sandbox para detectar explorações avançadas baseadas em arquivos. Ele faz isso analisando arquivos suspeitos enviados por meio de sua interface web pública ou API. "Apenas algumas semanas atrás, em 26 de março, alguém enviou uma amostra de PDF para EXPMON.
A amostra, embora nomeada como 'yummy_adobe_exploit_uwu.pdf' pelo remetente [desconhecido], acionou um dos recursos avançados de 'detecção em profundidade' do EXPMON", explicou Li em um post publicado na terça-feira. A mesma amostra foi enviada alguns dias antes ao VirusTotal, observou ele. Outro pesquisador de segurança também sinalizou uma variante da amostra no VirusTotal, e essa foi enviada pela primeira vez em 28 de novembro de 2025. A análise de Li da primeira amostra de PDF revelou que, uma vez aberto, o arquivo tenta executar o código JavaScript fortemente ofuscado incluído no arquivo.
O script coleta várias informações do sistema local (configurações de idioma, versão do sistema operacional, número da versão do Adobe Reader e caminho local do arquivo PDF) e as envia para um servidor remoto controlado pelo invasor. Ele também é capaz de fornecer e lançar explorações adicionais de execução remota de código ou de escape de sandbox obtidas do servidor remoto controlado pelo invasor. Infelizmente, quando Li analisou a amostra, o servidor não entregou nenhuma exploração. "Isso pode ser devido a vários fatores: por exemplo, o servidor do invasor pode ter 'bloqueado' meu endereço IP, ou talvez eu precise fornecer informações locais específicas para satisfazer as condições do servidor.
Isso se assemelha muito a um ataque avançado de impressão digital", apontou. O teste provou que o servidor remoto pode fornecer e lançar explorações adicionais (Fonte: Haifei Li). O pesquisador de malware Giuseppe Massaro analisou ambas as amostras e observou que ambos os PDFs exibem documentos em russo (renderizados como imagens) como iscas visuais, e o conteúdo – interrupção do fornecimento de gás e resposta a emergências – sugere que os alvos pretendidos são de língua russa, provavelmente no governo, no setor de energia ou em organizações de infraestrutura. O que fazer até que uma correção seja lançada Li diz que os arquivos PDF com armadilhas iniciarão o exploit quando abertos e confirmou que funciona na versão mais recente do Acrobat disponível.
Ele notificou a Adobe sobre suas descobertas, mas a empresa ainda não lançou atualizações de segurança que corrijam a vulnerabilidade explorada. Entretanto, os utilizadores devem evitar abrir ficheiros PDF enviados por terceiros não confiáveis. As equipes de segurança podem bloquear os dois servidores/endereços IP controlados pelo invasor (169.40.2.68 e 188.214.34.20). Melhor ainda, eles devem bloquear todo o tráfego http/https que contenha a string “Adobe Synchronizer” no campo User Agent, aconselhou Li.
Massaro também aconselhou as equipes de segurança a monitorar mudanças/ações específicas realizadas em endpoints (por exemplo, AdobeCollabSync.exe fazendo conexões de rede externas e PDF JavaScript chamando as APIs RSS.addFeed() ou util.readFileIntoStream()). Entramos em contato com a Adobe para obter mais informações e atualizaremos este artigo quando recebermos resposta deles.