Des attaquants exploitent une vulnérabilité zero-day dans **Adobe Reader** à l'aide de documents PDF malveillants depuis au moins décembre. Cette vulnérabilité permet le vol de données et une potentielle exécution de code à distance. ## Exploit sophistiqué de type Fingerprinting Le chercheur en sécurité **Haifei Li**, fondateur de la plateforme de détection d'exploits **EXPMON**, a révélé mardi que les attaquants utilisaient un 'exploit PDF de type fingerprinting très sophistiqué'. Cet exploit cible une faille de sécurité non divulguée d'**Adobe Reader**. Selon Li, ces attaques ciblent les utilisateurs d'**Adobe** depuis au moins quatre mois. Les attaquants volent des données sur les systèmes compromis en utilisant les API privilégiées `util.readFileIntoStream` et `RSS.addFeed` d'Acrobat, et déploient des exploits supplémentaires. « Cet exploit de 'fingerprinting' a été confirmé comme exploitant une vulnérabilité zero-day/non patchée qui fonctionne sur la dernière version d'**Adobe Reader** sans nécessiter d'interaction utilisateur au-delà de l'ouverture d'un fichier PDF », a averti Li. « Plus inquiétant encore, cet exploit permet à l'acteur de la menace non seulement de collecter/voler des informations locales, mais aussi de lancer potentiellement des attaques RCE/SBX ultérieures, ce qui pourrait conduire à un contrôle total du système de la victime. » **Haifei Li** a un historique de divulgation de vulnérabilités de sécurité dans des logiciels de **Microsoft**, **Google** et **Adobe**, dont beaucoup ont été exploitées dans des attaques zero-day. ## Leurres de phishing en langue russe L'analyste en renseignement sur les menaces Gi7w0rm, qui a également analysé cet exploit **Adobe Reader**, a constaté que les documents PDF utilisés dans ces attaques contiennent des leurres en langue russe faisant référence à des événements en cours dans l'industrie russe du pétrole et du gaz. ## Atténuation et recommandations Li a informé **Adobe** de ces découvertes. En attendant la publication d'une mise à jour de sécurité, il est conseillé aux utilisateurs d'**Adobe Reader** d'éviter d'ouvrir des documents PDF provenant de sources non fiables. Les défenseurs réseau peuvent également atténuer les attaques en surveillant et en bloquant le trafic HTTP/HTTPS contenant la chaîne "Adobe Synchronizer" dans l'en-tête User-Agent. « Cette capacité zero-day/non patchée pour la collecte d'informations à grande échelle et le potentiel d'exploitation RCE/SBX ultérieure suffisent à la communauté de la sécurité pour rester en état d'alerte. C'est pourquoi nous avons choisi de publier ces conclusions immédiatement afin que les utilisateurs puissent rester vigilants », a-t-il ajouté. **BleepingComputer** a contacté **Adobe** pour obtenir un commentaire, mais n'a pas encore reçu de réponse.