Ataques exploram uma vulnerabilidade zero-day no **Adobe Reader** usando documentos PDF maliciosamente criados desde pelo menos dezembro. Essa vulnerabilidade permite o roubo de dados e potencial execução remota de código. ## Sofisticado Exploit de Fingerprinting O pesquisador de segurança **Haifei Li**, fundador da plataforma de detecção de exploits **EXPMON**, revelou na terça-feira que os atacantes estão utilizando um 'exploit de PDF altamente sofisticado, estilo fingerprinting'. Este exploit visa uma falha de segurança não divulgada do **Adobe Reader**. De acordo com Li, esses ataques têm visado usuários da **Adobe** por pelo menos quatro meses. Os atacantes estão roubando dados de sistemas comprometidos usando as APIs privilegiadas `util.readFileIntoStream` e `RSS.addFeed` do Acrobat, e implantando exploits adicionais. "Este exploit de 'fingerprinting' foi confirmado como explorando uma vulnerabilidade zero-day/não corrigida que funciona na versão mais recente do **Adobe Reader** sem exigir nenhuma interação do usuário além de abrir um arquivo PDF", alertou Li. "Ainda mais preocupante, este exploit permite que o ator de ameaça não apenas colete/roube informações locais, mas também lance ataques subsequentes de RCE/SBX, o que poderia levar ao controle total do sistema da vítima." **Haifei Li** tem um histórico de divulgar vulnerabilidades de segurança em softwares da **Microsoft**, **Google** e **Adobe**, muitas das quais foram exploradas em ataques zero-day. ## Iscas de Phishing em Russo O analista de inteligência de ameaças Gi7w0rm, que também analisou este exploit do **Adobe Reader**, descobriu que os documentos PDF usados nesses ataques contêm iscas em russo referenciando eventos em andamento na indústria de petróleo e gás russa. ## Mitigação e Recomendações Li notificou a **Adobe** sobre essas descobertas. Até que uma atualização de segurança seja lançada, os usuários do **Adobe Reader** são aconselhados a evitar abrir documentos PDF de fontes não confiáveis. Defensores de rede também podem mitigar ataques monitorando e bloqueando tráfego HTTP/HTTPS contendo a string "Adobe Synchronizer" no cabeçalho User-Agent. "Esta capacidade zero-day/não corrigida para coleta ampla de informações e o potencial para exploração subsequente de RCE/SBX são suficientes para que a comunidade de segurança permaneça em alerta máximo. É por isso que escolhemos publicar essas descobertas imediatamente para que os usuários possam permanecer vigilantes", acrescentou. O **BleepingComputer** entrou em contato com a **Adobe** para comentar, mas ainda não recebeu resposta.