Los atacantes han estado explotando una vulnerabilidad zero-day en **Adobe Reader** utilizando documentos PDF maliciosamente creados desde al menos diciembre. Esta vulnerabilidad permite el robo de datos y la posible ejecución remota de código. ## Sofisticado Exploit de Huella Digital El investigador de seguridad **Haifei Li**, fundador de la plataforma de detección de exploits **EXPMON**, reveló el martes que los atacantes están utilizando un "exploit PDF altamente sofisticado, estilo de huella digital". Este exploit se dirige a una falla de seguridad no revelada de **Adobe Reader**. Según Li, estos ataques han estado apuntando a usuarios de **Adobe** durante al menos cuatro meses. Los atacantes están robando datos de sistemas comprometidos utilizando las APIs privilegiadas `util.readFileIntoStream` y `RSS.addFeed` de Acrobat, y desplegando exploits adicionales. "Se ha confirmado que este exploit de 'huella digital' aprovecha una vulnerabilidad zero-day/no parcheada que funciona en la última versión de **Adobe Reader** sin requerir ninguna interacción del usuario más allá de abrir un archivo PDF", advirtió Li. "Aún más preocupante, este exploit permite al actor de la amenaza no solo recopilar/robar información local, sino también lanzar ataques RCE/SBX posteriores, lo que podría llevar al control total del sistema de la víctima". **Haifei Li** tiene un historial de divulgación de vulnerabilidades de seguridad en software de **Microsoft**, **Google** y **Adobe**, muchas de las cuales han sido explotadas en ataques zero-day. ## Señuelos de Phishing en Idioma Ruso El analista de inteligencia de amenazas Gi7w0rm, quien también analizó este exploit de **Adobe Reader**, encontró que los documentos PDF utilizados en estos ataques contienen señuelos en idioma ruso que hacen referencia a eventos en curso en la industria rusa de petróleo y gas. ## Mitigación y Recomendaciones Li ha notificado a **Adobe** sobre estos hallazgos. Hasta que se publique una actualización de seguridad, se recomienda a los usuarios de **Adobe Reader** que eviten abrir documentos PDF de fuentes no confiables. Los defensores de la red también pueden mitigar los ataques monitoreando y bloqueando el tráfico HTTP/HTTPS que contenga la cadena "Adobe Synchronizer" en la cabecera User-Agent. "Esta capacidad zero-day/no parcheada para la recolección de información a gran escala y el potencial de explotación RCE/SBX posterior es suficiente para que la comunidad de seguridad se mantenga en alerta máxima. Es por eso que hemos elegido publicar estos hallazgos de inmediato para que los usuarios puedan mantenerse vigilantes", agregó. **BleepingComputer** se ha puesto en contacto con **Adobe** para obtener comentarios, pero aún no ha recibido respuesta.