.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Le 7 avril 2026, un chercheur en sécurité a décrit une vulnérabilité zero-day dans Adobe Reader qui était exploitée depuis au moins décembre 2025. Cette vulnérabilité permet aux acteurs malveillants d'exécuter des API Acrobat privilégiées via des fichiers PDF malveillants spécialement conçus qui exécutent du JavaScript obfusqué lorsqu'ils sont ouverts. L'exploitation permet aux attaquants de voler des données sensibles d'utilisateurs et de systèmes, et potentiellement de lancer des attaques supplémentaires et d'exécuter du code à distance.
Un autre chercheur en sécurité a noté que ces appâts en langue russe sont liés au secteur pétrolier et gazier russe. Ces détails laissent penser que les attaques sont ciblées plutôt qu'opportunistes.
Actions recommandées
Les chercheurs de la CTU (Counter Threat Unit™) recommandent aux organisations de surveiller la disponibilité d'un correctif officiel émis par Adobe et de mettre à jour leurs systèmes le cas échéant. En attendant, les organisations peuvent réduire les risques en analysant automatiquement les pièces jointes PDF des emails, en bloquant les fichiers suspects, en sensibilisant les utilisateurs aux pièces jointes non sollicitées et en leur conseillant d'éviter temporairement d'utiliser Adobe Reader pour ouvrir les fichiers PDF.
Protections et indicateurs de menace
Les protections Sophos suivantes sont liées à cette menace :
- Troj/PDF‑BG
- Malware/Callhome
Les indicateurs de menace du tableau 1 peuvent être utilisés pour détecter les activités liées à cette dernière. Notez que les adresses IP peuvent être réallouées. Les domaines et l'adresse IP peuvent contenir du contenu malveillant ; tenez compte des risques avant de les ouvrir dans un navigateur.
| Indicateur | Type | Contexte |
| 1929da3ef904efb8c940679045452321 | Hachage MD5 | Échantillon d’un PDF malveillant dans les attaques Adobe Reader (yummy_adobe_exploit_uwu.pdf) |
| 7f3c6f97612dd0a018797f99fad4df754e5feb35 | Hachage SHA1 | Échantillon d’un PDF malveillant dans les attaques Adobe Reader (yummy_adobe_exploit_uwu.pdf) |
| 65dca34b04416f9a113f09718cbe51e11fd58e7287b7863e37f393ed4d25dde7 | Hachage MD5 | Appât utilisant un PDF malveillant dans les attaques Adobe Reader (Invoice540.pdf) |
| 522cda0c18b410daa033dc66c48eb75a | Hachage MD5 | Appât utilisant un PDF malveillant dans les attaques Adobe Reader (Invoice540.pdf) |
| dafd571da1df72fb53bcd250e8b901103b51d6e4 | Hachage SHA1 | Appât utilisant un PDF malveillant dans les attaques Adobe Reader (Invoice540.pdf) |
| 54077a5b15638e354fa02318623775b7a1cc0e8c21e59bcbab333035369e377f | Hachage SHA256 | Appât utilisant un PDF malveillant dans les attaques Adobe Reader (Invoice540.pdf) |
| ado-read-parser[.]com | Nom de domaine | Serveur C2 dans les attaques d'Adobe Reader |
| 169[.]40[.]2[.]68:45191 | IP address:port | Serveur C2 dans les attaques d'Adobe Reader |
| 188[.]214[.]34[.]20:34123 | IP address:port | Serveur C2 dans les attaques d'Adobe Reader |
| Adobe Synchronizer | User-Agent | Associé aux attaques d'Adobe Reader |
Tableau 1 : Indicateurs pour cette menace
Références
https://justhaifei1.blogspot.com/2026/04/expmon-detected-sophisticated-zero-day-adobe-reader.html
https://x.com/Gi7w0rm/status/2042003381158379554
https://thehackernews.com/2026/03/adobe-reader-zero-day-targeted-attacks.html
https://www.theregister.com/2026/04/09/monthsold_adobe_reader_zeroday_uses/
https://www.securityweek.com/adobe-reader-zero-day-exploited-for-months-researcher/
https://thecyberexpress.com/zero-day-fingerprinting-attack-on-adobe-reader/
Billet inspiré de Adobe Reader zero-day vulnerability in active exploitation, sur le Blog Sophos.