Se está explotando un zero-day que afecta a Adobe Acrobat Reader mediante PDFs maliciosos desde al menos diciembre. La campaña combina robo de información con indicios de fases posteriores que podrían habilitar RCE y posibles intentos de evasión del sandbox.
El PDF sigue siendo uno de los formatos más aprovechados para atacar a usuarios y organizaciones porque se percibe como ‘inofensivo’, circula a diario por correo y mensajería corporativa, y suele abrirse con herramientas muy extendidas. Ese contexto es especialmente preocupante cuando el punto de entrada es un fallo no corregido públicamente en un lector tan ubicuo como Adobe Acrobat Reader, ya que reduce la fricción del ataque a un gesto rutinario: abrir un archivo.
La actividad observada gira en torno a un zero-day presuntamente sin parche confirmado y que estaría siendo explotado ‘en la naturaleza’ desde, como mínimo, diciembre. El vector es un documento PDF manipulado de forma específica, y el escenario descrito no requiere más interacción que la apertura del fichero por parte de la víctima. Además, se menciona que el ataque funciona incluso en la versión más reciente del producto, lo que apunta a un riesgo amplio en entornos donde Reader/Acrobat está instalado por defecto.
Uno de los elementos técnicos relevantes es el uso de fingerprinting para adaptar el comportamiento del exploit al entorno, una táctica habitual cuando el atacante quiere aumentar la fiabilidad y reducir fallos visibles. Tras la ejecución inicial, se ha observado robo de información local, apoyado en el abuso de APIs con privilegios dentro de Acrobat. En concreto, aparecen llamadas a util.readFileIntoStream y RSS.addFeed, que pueden emplearse para acceder a contenido del sistema y facilitar la extracción de datos. Este tipo de abuso es especialmente sensible porque combina capacidades ‘legítimas’ del software con una intención claramente maliciosa.
También hay indicios de que, tras la fase de recopilación, se podrían desplegar exploits o cargas adicionales. Esa secuencia encaja con cadenas de ataque donde primero se valida el objetivo y se extraen datos de interés, y después se intenta ampliar el control, con el riesgo potencial de ejecución remota de código (RCE) y ataques orientados a romper o eludir el sandbox (SBX). Si el encadenamiento culmina con éxito, el impacto podría escalar desde la exposición de ficheros locales hasta el control completo del equipo.
En la parte de ingeniería social, se han visto señuelos de phishing en ruso vinculados a eventos del sector de petróleo y gas en Rusia, lo que sugiere una campaña con objetivos concretos, aunque el mecanismo técnico puede reutilizarse fácilmente en otras temáticas y regiones.
Mientras se clarifica el estado de un parche, la prioridad defensiva es reducir superficie de ataque y aumentar la visibilidad. A nivel práctico, conviene endurecer el manejo de PDFs (especialmente los no solicitados), abrirlos en visores alternativos o entornos aislados cuando sea viable, y elevar la monitorización de procesos y conexiones salientes asociadas a Acrobat/Reader. Como mitigación de red específica, resulta útil vigilar o bloquear tráfico HTTP/HTTPS cuyo User-Agent contenga la cadena ‘Adobe Synchronizer’, además de alertar por uso anómalo de util.readFileIntoStream y RSS.addFeed en telemetría de endpoints. Complementariamente, reforzar controles anti-phishing y la concienciación interna reduce la probabilidad de que el primer paso –abrir el PDF– llegue a producirse.
Más información
- BleepingComputer – Hackers exploiting Acrobat Reader zero-day flaw since December : https://www.bleepingcomputer.com/news/security/hackers-exploiting-acrobat-reader-zero-day-flaw-since-december/
La entrada Explotación activa de un zero-day en Adobe Acrobat Reader con PDFs maliciosos desde diciembre se publicó primero en Una Al Día.
☞ El artículo completo original de Hispasec lo puedes ver aquí
