hu, 09 Apr 2026
← VoltarOs invasores exploram uma vulnerabilidade de dia zero no Adobe Reader por meio de PDFs maliciosos, visando usuários para roubo de dados e implantando outras explorações desde dezembro.
Os invasores têm explorado uma vulnerabilidade de dia zero no Adobe Reader usando documentos PDF criados com códigos maliciosos desde pelo menos dezembro. Os ataques foram descobertos pelo pesquisador de segurança Haifei Li (o fundador da plataforma de detecção de exploração baseada em sandbox EXPMON), que alertou na terça-feira que os invasores estão usando o que ele descreveu como uma “exploração de PDF altamente sofisticada, estilo impressão digital” para atingir uma falha de segurança não revelada do Adobe Reader. Li também disse que esses ataques têm como alvo usuários da Adobe há pelo menos 4 meses, roubando dados de sistemas comprometidos usando APIs privilegiadas util.readFileIntoStream e RSS.addFeed Acrobat e implantando explorações adicionais. “Foi confirmado que esta exploração de ‘impressão digital’ aproveita uma vulnerabilidade de dia zero/não corrigida que funciona na versão mais recente do Adobe Reader sem exigir qualquer interação do usuário além de abrir um arquivo PDF”, alertou Li.
“Ainda mais preocupante, esta exploração permite que o agente da ameaça não apenas colete/roube informações locais, mas também potencialmente lance ataques RCE/SBX subsequentes, o que pode levar ao controle total do sistema da vítima”. Haifei Li divulgou uma longa lista de vulnerabilidades de segurança em softwares da Microsoft, Google e Adobe, muitas das quais foram exploradas em ataques de dia zero. Iscas de phishing em russo O analista de inteligência de ameaças Gi7w0rm, que também analisou essa exploração do Adobe Reader, descobriu que os documentos PDF enviados nesses ataques contêm iscas em russo que fazem referência a eventos em andamento na indústria russa de petróleo e gás. Li notificou a Adobe sobre essas descobertas e, até que a empresa libere atualizações de segurança para resolver essa vulnerabilidade ativamente explorada, aconselhou os usuários do Adobe Reader a não abrirem documentos PDF recebidos de contatos não confiáveis até que um patch seja lançado.
Os defensores da rede também podem mitigar ataques que exploram esse dia zero, monitorando e bloqueando o tráfego HTTP/HTTPS contendo a string "Adobe Synchronizer" no cabeçalho do User-Agent. "Essa capacidade de dia zero/sem correção para ampla coleta de informações e o potencial para exploração subsequente de RCE/SBX é suficiente para que a comunidade de segurança permaneça em alerta máximo. É por isso que optamos por publicar essas descobertas imediatamente para que os usuários possam permanecer vigilantes", acrescentou. O BleepingComputer também entrou em contato com a Adobe com perguntas sobre as descobertas de Li, mas não houve resposta imediata.