Une faille de sécurité zero-day a été identifiée dans Adobe Reader et est activement exploitée par des attaquants depuis au moins le mois de décembre dernier. C’est le chercheur en sécurité Haifei Li, fondateur de la plateforme EXPMON, qui a tiré la sonnette d’alarme.
Il décrit une attaque hautement sophistiquée qui ne nécessite aucune interaction de l’utilisateur, mis à part l’ouverture d’un fichier PDF piégé. Cette vulnérabilité affecte la version la plus récente du logiciel.
Le principe de l’attaque sophistiquée
L’exploitation de la faille repose sur l’exécution de code JavaScript dissimulé dans le document PDF. Une fois le fichier ouvert, ce code malveillant utilise des API privilégiées d’Acrobat pour recueillir des données locales et les exfiltrer vers un serveur contrôlé par les attaquants.
Cette première étape permet d’obtenir des informations sur le système et la configuration de la victime. Elle peut servir de tremplin pour des attaques beaucoup plus dévastatrices.
Haifei Li prévient que la backdoor peut être utilisée pour lancer des attaques de type exécution de code à distance et avec échappement de la sandbox. De quoi évoquer le risque d’un contrôle total du système d’une victime.
Quelle est l’origine des cyberattaques ?
Les analyses menées par plusieurs experts, dont le chercheur se présentant en tant que Gi7w0rm, ont révélé des indices sur la provenance des campagnes de phishing.
Les documents PDF utilisés comme vecteurs d’attaque contiennent des leurres en langue russe. Ces derniers font référence à des événements actuels liés à l’industrie du pétrole et du gaz en Russie.
La découverte de cette campagne a été rendue possible grâce à plusieurs échantillons soumis à des analyses sur des plateformes comme VirusTotal et EXPMON. Le premier fichier suspect a été repéré fin novembre 2025.
Des mesures de protection à adopter
Adobe a été informé des détails de la vulnérabilité, mais aucun correctif de sécurité n’a été publié pour le moment. Reste la vigilance habituelle pour ne pas ouvrir de documents PDF provenant de sources ou de contacts non fiables.
Pour les administrateurs et les équipes de sécurité, une mesure d’atténuation recommandée est de surveiller et de bloquer le trafic HTTPS dont l’en-tête User-Agent contient la chaîne de caractères » Adobe Synchronizer « .