Adobe offices

Les pirates exploitent depuis des mois une vulnérabilité non corrigée d’Adobe Reader

Lucas Morel

L’exploit consiste à prendre des empreintes digitales sur des ordinateurs compromis pour permettre d’éventuelles attaques futures.

Les vulnérabilités d’Adobe Reader sont exploitées depuis des décennies par des acteurs malveillants qui profitent de l’utilisation universelle de l’utilitaire pour inciter les employés à télécharger des documents PDF infectés via des leurres de phishing.

Aujourd’hui, un chercheur en sécurité affirme qu’une faille du lecteur a été discrètement exploitée par des logiciels malveillants pendant quatre mois, prenant des empreintes digitales sur les ordinateurs pour recueillir des informations qui permettront aux attaquants de voler des données et d’effectuer d’autres activités malveillantes.

Dans un blog cette semaine, Haifei Li a déclaré qu’EXPMON, le moniteur d’exploits accessible au public qu’il gère et qui analyse des échantillons pour détecter les exploits zero-day basés sur des fichiers, avait trouvé un premier exploit qui exploite la vulnérabilité d’une API Reader.

Le code JavaScript du logiciel malveillant qui s’exécute automatiquement à l’ouverture du PDF infecté lit les fichiers sur l’ordinateur compromis, collectant des informations telles que les paramètres de langue, le numéro de version d’Adobe Reader, la version exacte du système d’exploitation et le chemin local du fichier PDF. Il envoie ensuite les données à un serveur distant.

Ces informations seront utiles aux acteurs malveillants qui envisagent de lancer de futures attaques, y compris l’installation d’outils d’accès à distance, a noté M. Li.

Li a déclaré dans son rapport du 7 avril qu’il avait testé le malware sur ce qui était à l’époque la dernière version d’Adobe Reader (26.00121367), et qu’il fonctionnait toujours.

Dans une mise à jour du lendemain, Li a ajouté qu’une variante remontant à novembre dernier avait été trouvée par un autre chercheur, ce qui suggère que le malware était utilisé au moins depuis lors.

Adobe a été invité à commenter le rapport, mais aucune réponse n’a été reçue dans les délais.

Ce n’est pas la première fois qu’Adobe Reader est visé. Les vulnérabilités qui y sont liées remontent au moins à 2007, lorsqu’une faille a été découverte dans un plug-in de navigateur. Les mises à jour de Fake Reader sont un autre favori des acteurs menaçants. Les vulnérabilités de mémoire utilisateur après libération sont également courantes ; les chercheurs de Zeropath ont décrit l’année dernière l’un d’entre eux, CVE-2025-54257.

Tactiques traditionnelles

En plus d’appliquer les correctifs dès qu’ils sont disponibles, les responsables de la sécurité de l’information doivent s’assurer que leurs employés reçoivent régulièrement une formation de sensibilisation à la sécurité qui comprend des avertissements concernant l’ouverture de fichiers PDF inattendus, même ceux qui semblent provenir de sources fiables telles que des collègues ou des responsables.

Les auteurs de menaces utilisent traditionnellement diverses tactiques pour inciter un employé à ouvrir une pièce jointe à un e-mail, notamment en utilisant des lignes d’objet telles que « Urgent » et « Informations sur le bonus ». La pièce jointe elle-même peut recevoir un nom qui exprime son importance ; dans ce cas, la variante de novembre portait le nom de fichier « Invoice504.pdf ».

Selon un rapport sur ce nouveau malware déposé auprès du site d’analyse de malware VirusTotal, sur lequel n’importe qui peut télécharger des fichiers suspects pour examen, le destinataire doit ouvrir la pièce jointe spécifiquement avec Adobe Acrobat Reader.

Un exploit à haut risque

Kellman Meghu, directeur de la technologie de la société canadienne de réponse aux incidents DeepCove Security, a qualifié cet exploit de « risque très élevé ».

Jusqu’à présent, il semble que ce malware particulier se contente d’exfiltrer des données, a-t-il déclaré. Mais cela implique qu’il existe une capacité ou une capacité à en faire un véhicule d’exécution de code à distance. « Il s’agit d’une (vulnérabilité) sans clic », a ajouté Meghu, « ce qui signifie qu’une simple visualisation dans un navigateur ou dans un courrier électronique est susceptible de suffire à la déclencher. »

Johannes Ullrich, doyen de la recherche à l’Institut SANS, a noté qu’Adobe Acrobat et Reader ont souvent été la cible d’exploits sophistiqués. Ceux-ci tirent souvent parti de fonctionnalités telles que JavaScript ou exploitent la possibilité d’inclure ou d’imbriquer divers types de documents dans un PDF. De nombreux filtres anti-malware détectent et signalent ces types de documents comme malveillants, a-t-il expliqué.

« Malheureusement », a-t-il ajouté, « les fichiers PDF sont encore très courants et ne peuvent pas être complètement éliminés ».

Adam Marrè, RSSI chez Arctic Wolf, a déclaré que ce qui rend cette nouvelle vulnérabilité particulièrement préoccupante est qu’elle est activement exploitée et semble fonctionner même sur des systèmes entièrement corrigés. Cela augmente immédiatement le profil de risque. « Même sans visibilité totale sur l’ensemble de la chaîne d’attaque, le fait qu’un accès initial puisse être obtenu par quelque chose d’aussi routinier que l’ouverture d’un PDF signifie que les organisations doivent traiter cela comme un événement de sécurité réel et présent », a-t-il déclaré. « À partir de là, l’impact potentiel peut aller d’une exposition limitée des données à une activité de suivi si les attaquants parviennent à fournir des charges utiles supplémentaires. »

Cela devient une question de gestion des risques en temps réel, a-t-il souligné. « Lorsqu’un outil fiable dépasse soudainement le seuil de risque acceptable pour une organisation, la priorité se déplace vers la réduction de l’exposition et l’augmentation de la visibilité. Cela peut impliquer de réévaluer là où le logiciel est vraiment nécessaire, de resserrer la manière dont le contenu non fiable est traité et de garantir qu’une surveillance est en place pour détecter rapidement tout comportement anormal », a-t-il déclaré.

« Ce qui se passe après le confinement est tout aussi important », a-t-il ajouté. « Des incidents comme celui-ci sont l’occasion d’évaluer quels contrôles ont tenu, où les lacunes sont apparues et comment opérationnaliser ces leçons. Les menaces liées au comportement quotidien des utilisateurs ne disparaîtront pas, la résilience dépend donc d’un apprentissage rapide et d’une adaptation tout aussi rapide. »

Vulnérabilités du jour zéroVulnérabilitésSécurité

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Business Conference Presentation: Visionary Startup CEO Presents New Product, Does Motivational Talk Science, Lecture, Technology, Entrepreneurship, Development, Leadership. Background with Code.
Ce que les RSSI doivent faire à l’heure où l’identité entre dans l’ère agentique
Poznan, Poland – April 14, 2025: Close-up of Cursor app icon on the macOS dock, showcasing a modern code editor enhanced with AI features for developers
Un bug critique du curseur pourrait transformer la routine Git en RCE
Red suspension bridge cable and vertical suspenders, representing a pipeline
Sécuriser les pipelines RAG dans les SaaS d’entreprise