Adobe Reader : un zero-day exploité via PDF malveillants

Une vulnérabilité zero-day dans Adobe Acrobat Reader fait l objet d une exploitation active depuis au moins quatre mois, selon les conclusions du chercheur en sécurité Haifei Li. L attaque repose sur des documents PDF specialement concus qui, une fois ouverts dans Adobe Reader, declenchent automatiquement l exécution de code JavaScript obfusque. Ce code exploite les API privilegiees util.readFileIntoStream et RSS.addFeed pour exfiltrer des donnees sensibles du système compromis et déployer des charges utiles additionnelles. Les documents malveillants identifies contiennent des leurres en langue russe, faisant référence a des problematiques liees au secteur petrolier et gazier en Russie. Aucune interaction utilisateur n est requise au-dela de l ouverture du fichier PDF, ce qui rend cette attaque particulierement dangereuse pour les environnements ou les pieces jointes PDF circulent massivement, notamment dans les secteurs industriel et energetique. Adobe a ete notifie mais n a pas encore publie de correctif officiel.

Les faits

L exploitation a ete documentee pour la premiere fois en avril 2026, bien que les premieres traces remontent a decembre 2025. Le chercheur decrit l exploit comme hautement sophistique, de type fingerprinting, capable de collecter des informations système detaillees avant de decider du déploiement de la charge utile finale. Contrairement aux exploits PDF classiques qui ciblent des debordements de mémoire, celui-ci abuse de fonctionnalites legitimes de l API JavaScript d Acrobat Reader pour obtenir un acces privilegie aux fichiers locaux.

Le vecteur d attaque est classique mais efficace : des emails de spear-phishing contenant des pieces jointes PDF en apparence anodines. Les campagnes identifiées ciblent principalement des organisations du secteur energetique, avec des documents se faisant passer pour des rapports techniques ou des notes de conformité reglementaire. La sophistication de l exploit et le ciblage sectoriel suggerent l implication d un acteur etatique ou d un groupe APT disposant de ressources significatives, comme on l a vu recemment avec les attaques APT28 exploitant des zero-days MSHTML.

Impact et exposition

L ensemble des utilisateurs d Adobe Acrobat Reader sont potentiellement exposes, toutes versions confondues. La surface d attaque est considerable : Adobe Reader reste le lecteur PDF le plus repandu en entreprise avec plus de 500 millions d utilisateurs actifs. Les environnements les plus a risque sont ceux ou les PDF circulent librement par email, notamment les secteurs juridique, financier, energetique et les administrations publiques. L absence de corruption mémoire rend la détection par les solutions de sécurité traditionnelles particulierement difficile. Les EDR configures pour surveiller les comportements d exfiltration de donnees sont plus susceptibles de détecter l activite malveillante. Cette situation rappelle le zero-day BlueHammer qui avait également echappe aux detections classiques pendant plusieurs semaines.

Recommandations

• Desactiver immédiatement JavaScript dans Adobe Reader (Edition, Preferences, JavaScript, decocher Activer Acrobat JavaScript)
• Bloquer les pieces jointes PDF en provenance de sources non verifiees au niveau de la passerelle email
• Envisager l utilisation temporaire d un lecteur PDF alternatif (Foxit Reader, SumatraPDF) jusqu a la publication du correctif
• Surveiller les connexions réseau sortantes initiees par les processus Adobe Reader dans votre stratégie de gestion des vulnérabilités