Un zero-day dans Adobe Acrobat Reader est exploité depuis décembre 2025 via des PDF piégés. Aucun correctif disponible : désactivez JavaScript dans Reader immédiatement.
En bref
- Un zero-day dans Adobe Reader est activement exploite depuis decembre 2025 via des PDF pieges
- Toutes les versions d Adobe Acrobat Reader sont affectees, y compris la derniere en date
- Aucun patch disponible : desactiver JavaScript dans Reader et ne pas ouvrir de PDF non sollicites
Une vulnerabilite zero-day dans Adobe Acrobat Reader fait l objet d une exploitation active depuis au moins quatre mois, selon les conclusions du chercheur en securite Haifei Li. L attaque repose sur des documents PDF specialement concus qui, une fois ouverts dans Adobe Reader, declenchent automatiquement l execution de code JavaScript obfusque. Ce code exploite les API privilegiees util.readFileIntoStream et RSS.addFeed pour exfiltrer des donnees sensibles du systeme compromis et deployer des charges utiles additionnelles. Les documents malveillants identifies contiennent des leurres en langue russe, faisant reference a des problematiques liees au secteur petrolier et gazier en Russie. Aucune interaction utilisateur n est requise au-dela de l ouverture du fichier PDF, ce qui rend cette attaque particulierement dangereuse pour les environnements ou les pieces jointes PDF circulent massivement, notamment dans les secteurs industriel et energetique. Adobe a ete notifie mais n a pas encore publie de correctif officiel.
Les faits
L exploitation a ete documentee pour la premiere fois en avril 2026, bien que les premieres traces remontent a decembre 2025. Le chercheur decrit l exploit comme hautement sophistique, de type fingerprinting, capable de collecter des informations systeme detaillees avant de decider du deploiement de la charge utile finale. Contrairement aux exploits PDF classiques qui ciblent des debordements de memoire, celui-ci abuse de fonctionnalites legitimes de l API JavaScript d Acrobat Reader pour obtenir un acces privilegie aux fichiers locaux.
Le vecteur d attaque est classique mais efficace : des emails de spear-phishing contenant des pieces jointes PDF en apparence anodines. Les campagnes identifiees ciblent principalement des organisations du secteur energetique, avec des documents se faisant passer pour des rapports techniques ou des notes de conformite reglementaire. La sophistication de l exploit et le ciblage sectoriel suggerent l implication d un acteur etatique ou d un groupe APT disposant de ressources significatives, comme on l a vu recemment avec les attaques APT28 exploitant des zero-days MSHTML.
Impact et exposition
L ensemble des utilisateurs d Adobe Acrobat Reader sont potentiellement exposes, toutes versions confondues. La surface d attaque est considerable : Adobe Reader reste le lecteur PDF le plus repandu en entreprise avec plus de 500 millions d utilisateurs actifs. Les environnements les plus a risque sont ceux ou les PDF circulent librement par email, notamment les secteurs juridique, financier, energetique et les administrations publiques. L absence de corruption memoire rend la detection par les solutions de securite traditionnelles particulierement difficile. Les EDR configures pour surveiller les comportements d exfiltration de donnees sont plus susceptibles de detecter l activite malveillante. Cette situation rappelle le zero-day BlueHammer qui avait egalement echappe aux detections classiques pendant plusieurs semaines.
Recommandations
- Desactiver immediatement JavaScript dans Adobe Reader (Edition, Preferences, JavaScript, decocher Activer Acrobat JavaScript)
- Bloquer les pieces jointes PDF en provenance de sources non verifiees au niveau de la passerelle email
- Envisager l utilisation temporaire d un lecteur PDF alternatif (Foxit Reader, SumatraPDF) jusqu a la publication du correctif
- Surveiller les connexions reseau sortantes initiees par les processus Adobe Reader dans votre strategie de gestion des vulnerabilites
Alerte critique
Aucun correctif n est disponible a ce jour. La seule mesure d attenuation fiable est la desactivation de JavaScript dans Adobe Reader. Pour les environnements sensibles, envisagez de bloquer temporairement tous les PDF entrants non signes numeriquement.
L essentiel a retenir
Un zero-day sans correctif affecte toutes les versions d Adobe Reader depuis decembre 2025. L exploitation se fait via des PDF pieges utilisant du JavaScript malveillant, sans interaction utilisateur au-dela de l ouverture du fichier. Desactivez JavaScript dans Reader immediatement et sensibilisez vos equipes a ne pas ouvrir de PDF provenant de sources inconnues.
Comment savoir si mon organisation a ete ciblee par cet exploit PDF ?
Recherchez dans vos logs reseau des connexions sortantes inhabituelles initiees par le processus AcroRd32.exe ou Acrobat.exe. Verifiez egalement vos passerelles email pour identifier des PDF contenant du JavaScript obfusque. Les solutions sandbox comme celles utilisees pour l analyse de navigateurs peuvent aussi detecter ce type de comportement en environnement controle.
Les lecteurs PDF alternatifs sont-ils aussi vulnerables ?
Non. Cette vulnerabilite est specifique aux API JavaScript proprietaires d Adobe Acrobat Reader. Les lecteurs alternatifs comme Foxit Reader, SumatraPDF ou le lecteur integre de Chrome n implementent pas ces API et ne sont pas affectes par cet exploit particulier.
Votre infrastructure est-elle exposee ?
Ayi NEDJIMI realise des audits de securite cibles pour identifier et corriger vos vulnerabilites avant qu elles ne soient exploitees.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Apache ActiveMQ : une faille RCE dormait depuis 13 ans
CVE-2026-34197 : une faille RCE dans Apache ActiveMQ Classic restée indétectée 13 ans. Exploitation sans authentification possible sur ActiveMQ 6.x.
Bitcoin Depot : 3,6 millions de dollars en BTC volés
Bitcoin Depot, plus grand réseau d'ATM Bitcoin américain, a subi un vol de 50,9 BTC après une intrusion dans son environnement corporate le 23 mars 2026.
npm : 36 faux plugins Strapi déploient des reverse shells
36 paquets npm malveillants imitant des plugins Strapi déploient des reverse shells et ciblent la passerelle crypto Guardarian.
Commentaires (1)
Laisser un commentaire