Angreifer nutzen seit mindestens Dezember eine Zero-Day-Schwachstelle in **Adobe Reader** mithilfe von bösartig präparierten PDF-Dokumenten aus. Diese Schwachstelle ermöglicht Datendiebstahl und potenziell Remote Code Execution. ## Ausgefeilter Fingerprinting-Exploit Der Sicherheitsforscher **Haifei Li**, Gründer der Exploit-Erkennungsplattform **EXPMON**, gab am Dienstag bekannt, dass Angreifer einen 'hoch entwickelten, Fingerprinting-artigen PDF-Exploit' einsetzen. Dieser Exploit zielt auf eine nicht näher spezifizierte Sicherheitslücke in **Adobe Reader** ab. Laut Li zielen diese Angriffe seit mindestens vier Monaten auf **Adobe**-Nutzer ab. Die Angreifer stehlen Daten von kompromittierten Systemen mithilfe der privilegierten Acrobat APIs `util.readFileIntoStream` und `RSS.addFeed` und setzen zusätzliche Exploits ein. "Dieser 'Fingerprinting'-Exploit nutzt nachweislich eine Zero-Day/ungepatchte Schwachstelle aus, die auf der neuesten Version von **Adobe Reader** funktioniert, ohne dass eine Benutzerinteraktion über das Öffnen einer PDF-Datei hinaus erforderlich ist", warnte Li. "Noch besorgniserregender ist, dass dieser Exploit es dem Bedrohungsakteur ermöglicht, nicht nur lokale Informationen zu sammeln/zu stehlen, sondern auch potenziell nachfolgende RCE/SBX-Angriffe zu starten, was zur vollständigen Kontrolle über das System des Opfers führen könnte." **Haifei Li** hat in der Vergangenheit Sicherheitslücken in Software von **Microsoft**, **Google** und **Adobe** offengelegt, von denen viele in Zero-Day-Angriffen ausgenutzt wurden. ## Phishing-Köder in russischer Sprache Der Threat-Intelligence-Analyst Gi7w0rm, der diesen **Adobe Reader**-Exploit ebenfalls analysierte, stellte fest, dass die in diesen Angriffen verwendeten PDF-Dokumente Köder in russischer Sprache enthalten, die sich auf aktuelle Ereignisse in der russischen Öl- und Gasindustrie beziehen. ## Abhilfemaßnahmen und Empfehlungen Li hat **Adobe** über diese Erkenntnisse informiert. Bis zur Veröffentlichung eines Sicherheitsupdates wird **Adobe Reader**-Nutzern geraten, das Öffnen von PDF-Dokumenten aus nicht vertrauenswürdigen Quellen zu vermeiden. Netzwerkverteidiger können Angriffe auch abmildern, indem sie HTTP/HTTPS-Traffic überwachen und blockieren, der die Zeichenfolge "Adobe Synchronizer" im User-Agent-Header enthält. "Diese Zero-Day/ungepatchte Fähigkeit zur breiten Informationsbeschaffung und das Potenzial für nachfolgende RCE/SBX-Ausnutzung reichen aus, damit die Sicherheitsgemeinschaft wachsam bleibt. Deshalb haben wir uns entschieden, diese Erkenntnisse sofort zu veröffentlichen, damit die Nutzer wachsam bleiben können", fügte er hinzu. **BleepingComputer** hat **Adobe** um Stellungnahme gebeten, hat jedoch noch keine Antwort erhalten.