Onderzoeker Haifei Li, oprichter van het exploit-detectieplatform EXPMON, ontdekte een geavanceerde aanval waarbij PDF-bestanden worden ingezet om gebruikers van Adobe Reader te bespioneren en mogelijk te compromitteren.
De aanval maakt misbruik van een tot voor kort onbekende kwetsbaarheid, waardoor het openen van een ogenschijnlijk onschuldig document al voldoende kan zijn om gevoelige informatie te verzamelen en door te sturen naar een externe server. Volgens Neowin maakt de aanval deel uit van een bredere campagne die al sinds december actief is. Kwaadwillenden maken misbruik van speciaal geprepareerde PDF-bestanden.
EXPMON signaleerde verdachte activiteit in een PDF-bestand dat aanvankelijk slechts als mogelijk riskant werd aangemerkt. Verdere analyse wees uit dat het document gebruikmaakt van versluierde JavaScript-code om interne functies van Adobe Reader aan te roepen. Daarmee kan het lokale bestanden uitlezen en systeeminformatie verzamelen. Denk aan softwareversie, taalinstellingen en details van het besturingssysteem.
De kwetsbaarheid betreft een zogeheten prototype pollution-probleem binnen de JavaScript-implementatie van de PDF-lezer. Door misbruik hiervan kunnen aanvallers objecteigenschappen manipuleren en zo toegang krijgen tot functionaliteit die normaal buiten bereik ligt. In dit geval stelt dat de aanvaller in staat om gegevens te verzamelen. Die data kan de aanvaller dan via netwerkverkeer naar een externe server te sturen.
Opvallend is dat de aanval niet direct overgaat tot volledige compromittering. In plaats daarvan wordt eerst een profiel van het slachtoffer opgebouwd. Op basis daarvan kan de aanvaller bepalen of het systeem interessant genoeg is voor een vervolgstap, waarbij aanvullende code kan worden aangeleverd die leidt tot het uitvoeren van willekeurige code of het omzeilen van sandboxbeperkingen.
Gerichte aanval op basis van systeemprofiel
Onderzoekers bevestigden dat het mogelijk is om via deze methode niet alleen informatie te verzamelen, maar ook externe code uit te voeren binnen Adobe Reader. Daarmee ontstaat een potentieel pad naar volledige systeemovername, al bleek de aanval selectief doordat aanvullende payloads niet altijd werden geleverd.
Adobe heeft de kwetsbaarheid inmiddels bevestigd en opgelost via een beveiligingsupdate. De fout is vastgelegd onder CVE-2026-34621 en heeft een hoge ernstscore gekregen, die later iets is bijgesteld. Meerdere versies van Acrobat en Reader op Windows en macOS zijn getroffen en inmiddels gepatcht.
Naast de technische details zijn er aanwijzingen dat de aanval mogelijk gericht is. Analyse van de gebruikte PDF-bestanden wijst op verwijzingen naar de Russische olie- en gassector, wat kan duiden op een specifieke doelgroep, al is dit niet definitief bevestigd.