Ungepatchte Zero-Day-Lücke in Adobe Reader aktiv ausgenutzt
Wer Adobe Reader nutzt, sollte ab sofort sehr genau hinsehen, welche PDF-Dateien er öffnet. Sicherheitsforscher haben eine Zero-Day-Schwachstelle entdeckt, die Angreifer bereits seit mindestens Ende November 2025 aktiv ausnutzen. Einen Patch gibt es noch nicht.
Was ist passiert?
Der Sicherheitsforscher Haifei Li, Betreiber der Exploit-Erkennungsplattform EXPMON, hat am 26. März 2026 eine präparierte PDF-Datei analysiert, die auf der Plattform eingereicht wurde. Die Datei enthält einen ausgeklügelten Exploit, der eine bisher ungepatchte Schwachstelle in Adobe Reader missbraucht. Eine Variante der Schaddatei tauchte bereits am 28. November 2025 auf VirusTotal auf, was darauf hindeutet, dass die Kampagne seit mindestens vier Monaten läuft.
Der Exploit funktioniert ohne jede Benutzerinteraktion: Es genügt, die präparierte PDF-Datei in Adobe Reader zu öffnen. Bestätigt wurde das Verhalten auf der aktuellsten verfügbaren Version von Adobe Reader (26.00121367).
Wie funktioniert der Angriff?
Der Exploit nutzt zwei interne Acrobat-APIs, die normalerweise nur privilegierten Prozessen zugänglich sein sollten:
– util.readFileIntoStream() liest beliebige Dateien vom lokalen System, die der (eigentlich sandboxed) Reader-Prozess erreichen kann. Damit kann der Angreifer Systemdaten, lokale Dateien und genaue Versionsinformationen abgreifen.
– RSS.addFeed() dient als Kommunikationskanal: Die gesammelten Daten werden an einen vom Angreifer kontrollierten Server gesendet, und im Gegenzug kann nachgeladener JavaScript-Code ausgeführt werden.
Der Schadcode ist mehrfach verschleiert und nutzt Base64-Kodierung sowie kryptografische Entschlüsselung, um Netzwerküberwachung zu umgehen. Die gesammelten Informationen umfassen Spracheinstellungen, die genaue Adobe-Reader-Version, die exakte Windows-Versionsnummer sowie den lokalen Dateipfad des PDFs. Anhand dieser Daten kann der Angreifer entscheiden, ob ein Zielsystem für einen weiterführenden Angriff geeignet ist.
Li hat in Tests bestätigt, dass der Server tatsächlich in der Lage ist, weiteren JavaScript-Code nachzuliefern und auszuführen. Er konnte auch lokale Dateien aus dem system32-Verzeichnis erfolgreich an einen selbst kontrollierten Server übertragen. Das macht deutlich: Selbst ohne einen nachgelagerten RCE- oder Sandbox-Escape-Exploit kann dieser erste Angriff bereits erhebliche Mengen sensibler Daten stehlen.
Wer steckt dahinter?
Die als Köder eingesetzten Dokumente sind auf Russisch verfasst und behandeln Themen der Öl- und Gasindustrie. Das deutet auf eine gezielte Spionagekampagne gegen einen bestimmten Personenkreis hin, vermutlich im Energie- oder Rohstoffsektor. Die Art des Angriffs, besonders das Fingerprinting zur Auswahl geeigneter Ziele, ist ein klares Merkmal eines staatlichen oder staatlich geförderten Bedrohungsakteurs (APT).
Eine zweite Variante der Schaddatei wurde am 8. April 2026 entdeckt. Sie kontaktiert die IP-Adresse 188.214.34.20:34123. Die ursprüngliche Variante nutzte 169.40.2.68:45191.
Adobe wurde von Li über die Schwachstelle informiert. Zum Zeitpunkt der Veröffentlichung dieses Beitrags hat das Unternehmen weder einen Patch bereitgestellt noch öffentlich Stellung bezogen. Es ist nicht bekannt, wann ein Fix zu erwarten ist.
Ein CYROS-Nutzer hat uns auf diese Vorfall aufmerksam gemacht – vielen Dank!
- PDF-Dateien aus unbekannten oder nicht vertrauenswürdigen Quellen nicht öffnen, insbesondere keine per E-Mail erhaltenen Anhänge.
- Netzwerkverkehr auf ausgehende HTTP/HTTPS-Verbindungen überwachen, die den String "Adobe Synchronizer" im User-Agent-Header enthalten.
- Die IP-Adressen 169.40.2.68 und 188.214.34.20 in Firewall-Regeln und Proxy-Blocklisten aufnehmen.
- Alternativ einen anderen PDF-Viewer verwenden, solange kein Patch verfügbar ist.