Sicherheitsforscher haben einen aktiven Zero-Day-Exploit aufgedeckt, der **Adobe Reader** ins Visier nimmt und speziell präparierte PDF-Dateien nutzt. Der von **EXPMON**s Haifei Li gemeldete Exploit wird als ausgeklügelte Attacke beschrieben, die eine bisher unbekannte Schwachstelle ausnutzt. ### Entdeckung und Analyse Das bösartige Artefakt mit dem Namen "Invoice540.pdf" wurde erstmals am 28. November 2025 auf **VirusTotal** beobachtet. Eine zweite Probe erschien am 23. März 2026. Der Dateiname deutet auf eine Social-Engineering-Komponente hin, die Benutzer zum Öffnen der Dateien verleiten soll. Nach der Ausführung löst das PDF verschleierten JavaScript-Code aus, der darauf ausgelegt ist, sensible Informationen zu sammeln und zusätzliche Payloads herunterzuladen. ### Zielgruppen und Techniken Der Sicherheitsforscher Gi7w0rm stellte fest, dass die PDF-Dokumente Köder in russischer Sprache enthalten, die sich auf aktuelle Ereignisse im Zusammenhang mit der Öl- und Gasindustrie in Russland beziehen. Dies deutet auf eine gezielte Kampagne hin. Laut Li fungiert der Exploit als initialer Eintrittspunkt, der in der Lage ist, vielfältige Datentypen zu sammeln und zu leaken, was potenziell zu Remote Code Execution (RCE) und Sandbox Escape (SBX) Exploits führen kann. "Die Probe fungiert als initialer Exploit mit der Fähigkeit, verschiedene Arten von Informationen zu sammeln und zu leaken, gefolgt von potenziellen Remote Code Execution (RCE) und Sandbox Escape (SBX) Exploits", sagte Li. ### Technische Details Die Schwachstelle ermöglicht die Ausführung privilegierter Acrobat APIs, selbst auf der neuesten Version von **Adobe Reader**. Der Exploit enthält auch Funktionalität zur Exfiltration gesammelter Daten an einen entfernten Server (169.40.2[.]68:45191) und zum Empfang zusätzlichen JavaScript-Codes zur Ausführung. Dieser Mechanismus könnte fortgeschrittene Fingerprinting-Angriffe ermöglichen und den Weg für weitere Ausnutzungen ebnen, einschließlich der Bereitstellung zusätzlicher Exploits zur Erreichung von Codeausführung oder Sandbox Escape. Die genaue Natur des nachfolgenden Exploits bleibt unklar, da der entfernte Server während der Analyse nicht reagierte. Dies könnte darauf hindeuten, dass die Testumgebung nicht die Kriterien für die Payload-Bereitstellung erfüllte. ### Handlungsaufforderung "Nichtsdestotrotz ist diese Zero-Day/unpatchte Fähigkeit zur breiten Informationsbeschaffung und das Potenzial für nachfolgende RCE/SBX-Ausnutzung ausreichend, damit die Sicherheitsgemeinschaft wachsam bleibt", sagte Li. ### Update **Adobe** hat Sicherheitsupdates für die Schwachstelle veröffentlicht (**CVE-2026-34621**, CVSS-Score: 9.6). Bitte [hier für weitere Details prüfen](https://thehackernews.com/2026/04/adobe-patches-actively-exploited.html).