攻撃者は、少なくとも12月から悪意のあるPDFドキュメントを使用して**Adobe Reader**のゼロデイ脆弱性を悪用しています。この脆弱性により、データ窃取や潜在的なリモートコード実行が可能になります。 ## 高度なフィンガープリンティングエクスプロイト エクスプロイト検出プラットフォーム**EXPMON**の創設者であるセキュリティ研究者**Haifei Li**氏は火曜日、攻撃者が「非常に高度なフィンガープリンティング型のPDFエクスプロイト」を利用していることを明らかにしました。このエクスプロイトは、未公開の**Adobe Reader**のセキュリティ上の欠陥を標的としています。 Li氏によると、これらの攻撃は少なくとも4ヶ月間**Adobe**ユーザーを標的にしています。攻撃者は、特権のある`util.readFileIntoStream`および`RSS.addFeed` Acrobat APIを使用して侵害されたシステムからデータを盗み、追加のエクスプロイトを展開しています。 「この『フィンガープリンティング』エクスプロイトは、PDFファイルを開くだけでユーザーの操作を必要とせずに、最新バージョンの**Adobe Reader**で動作するゼロデイ/未パッチの脆弱性を悪用することが確認されています」とLi氏は警告しました。 「さらに懸念されるのは、このエクスプロイトにより、脅威アクターはローカル情報を収集/窃取できるだけでなく、潜在的に後続のRCE/SBX攻撃を開始できることです。これにより、被害者のシステム全体を制御できるようになる可能性があります。」 **Haifei Li**氏は、**Microsoft**、**Google**、**Adobe**のソフトウェアにおけるセキュリティ脆弱性の開示で実績があり、その多くはゼロデイ攻撃で悪用されています。 ## ロシア語のフィッシング誘導 この**Adobe Reader**エクスプロイトを分析した脅威インテリジェンスアナリストのGi7w0rm氏は、これらの攻撃で使用されているPDFドキュメントには、ロシアの石油・ガス産業における進行中のイベントを参照するロシア語の誘導が含まれていることを発見しました。 ## 緩和策と推奨事項 Li氏は**Adobe**にこれらの発見を通知しました。セキュリティアップデートがリリースされるまで、**Adobe Reader**ユーザーは信頼できないソースからのPDFドキュメントを開かないようにすることが推奨されます。ネットワーク防御者は、User-Agentヘッダーの「Adobe Synchronizer」文字列を含むHTTP/HTTPSトラフィックを監視およびブロックすることで、攻撃を緩和することもできます。 「広範な情報収集のためのこのゼロデイ/未パッチの機能と、後続のRCE/SBXエクスプロイトの可能性は、セキュリティコミュニティが警戒を怠らないのに十分です。そのため、ユーザーが警戒を続けられるように、これらの発見を直ちに公開することにしました」と彼は付け加えました。 **BleepingComputer**は**Adobe**にコメントを求めていますが、まだ回答を得ていません。