Un zero-day dans Adobe Acrobat Reader est exploité depuis décembre 2025 via des PDF piégés. Aucun correctif disponible : désactivez JavaScript dans Reader immédiatement.
En bref
- Un zero-day dans Adobe Reader est activement exploite depuis decembre 2025 via des PDF pieges
- Toutes les versions d Adobe Acrobat Reader sont affectees, y compris la derniere en date
- Aucun patch disponible : desactiver JavaScript dans Reader et ne pas ouvrir de PDF non sollicites
Une vulnerabilite zero-day dans Adobe Acrobat Reader fait l objet d une exploitation active depuis au moins quatre mois, selon les conclusions du chercheur en securite Haifei Li. L attaque repose sur des documents PDF specialement concus qui, une fois ouverts dans Adobe Reader, declenchent automatiquement l execution de code JavaScript obfusque. Ce code exploite les API privilegiees util.readFileIntoStream et RSS.addFeed pour exfiltrer des donnees sensibles du systeme compromis et deployer des charges utiles additionnelles. Les documents malveillants identifies contiennent des leurres en langue russe, faisant reference a des problematiques liees au secteur petrolier et gazier en Russie. Aucune interaction utilisateur n est requise au-dela de l ouverture du fichier PDF, ce qui rend cette attaque particulierement dangereuse pour les environnements ou les pieces jointes PDF circulent massivement, notamment dans les secteurs industriel et energetique. Adobe a ete notifie mais n a pas encore publie de correctif officiel.
Les faits
L exploitation a ete documentee pour la premiere fois en avril 2026, bien que les premieres traces remontent a decembre 2025. Le chercheur decrit l exploit comme hautement sophistique, de type fingerprinting, capable de collecter des informations systeme detaillees avant de decider du deploiement de la charge utile finale. Contrairement aux exploits PDF classiques qui ciblent des debordements de memoire, celui-ci abuse de fonctionnalites legitimes de l API JavaScript d Acrobat Reader pour obtenir un acces privilegie aux fichiers locaux.
Le vecteur d attaque est classique mais efficace : des emails de spear-phishing contenant des pieces jointes PDF en apparence anodines. Les campagnes identifiees ciblent principalement des organisations du secteur energetique, avec des documents se faisant passer pour des rapports techniques ou des notes de conformite reglementaire. La sophistication de l exploit et le ciblage sectoriel suggerent l implication d un acteur etatique ou d un groupe APT disposant de ressources significatives, comme on l a vu recemment avec les attaques APT28 exploitant des zero-days MSHTML.
Impact et exposition
L ensemble des utilisateurs d Adobe Acrobat Reader sont potentiellement exposes, toutes versions confondues. La surface d attaque est considerable : Adobe Reader reste le lecteur PDF le plus repandu en entreprise avec plus de 500 millions d utilisateurs actifs. Les environnements les plus a risque sont ceux ou les PDF circulent librement par email, notamment les secteurs juridique, financier, energetique et les administrations publiques. L absence de corruption memoire rend la detection par les solutions de securite traditionnelles particulierement difficile. Les EDR configures pour surveiller les comportements d exfiltration de donnees sont plus susceptibles de detecter l activite malveillante. Cette situation rappelle le zero-day BlueHammer qui avait egalement echappe aux detections classiques pendant plusieurs semaines.
Recommandations
- Desactiver immediatement JavaScript dans Adobe Reader (Edition, Preferences, JavaScript, decocher Activer Acrobat JavaScript)
- Bloquer les pieces jointes PDF en provenance de sources non verifiees au niveau de la passerelle email
- Envisager l utilisation temporaire d un lecteur PDF alternatif (Foxit Reader, SumatraPDF) jusqu a la publication du correctif
- Surveiller les connexions reseau sortantes initiees par les processus Adobe Reader dans votre strategie de gestion des vulnerabilites
Alerte critique
Aucun correctif n est disponible a ce jour. La seule mesure d attenuation fiable est la desactivation de JavaScript dans Adobe Reader. Pour les environnements sensibles, envisagez de bloquer temporairement tous les PDF entrants non signes numeriquement.
L essentiel a retenir
Un zero-day sans correctif affecte toutes les versions d Adobe Reader depuis decembre 2025. L exploitation se fait via des PDF pieges utilisant du JavaScript malveillant, sans interaction utilisateur au-dela de l ouverture du fichier. Desactivez JavaScript dans Reader immediatement et sensibilisez vos equipes a ne pas ouvrir de PDF provenant de sources inconnues.
Comment savoir si mon organisation a ete ciblee par cet exploit PDF ?
Recherchez dans vos logs reseau des connexions sortantes inhabituelles initiees par le processus AcroRd32.exe ou Acrobat.exe. Verifiez egalement vos passerelles email pour identifier des PDF contenant du JavaScript obfusque. Les solutions sandbox comme celles utilisees pour l analyse de navigateurs peuvent aussi detecter ce type de comportement en environnement controle.
Les lecteurs PDF alternatifs sont-ils aussi vulnerables ?
Non. Cette vulnerabilite est specifique aux API JavaScript proprietaires d Adobe Acrobat Reader. Les lecteurs alternatifs comme Foxit Reader, SumatraPDF ou le lecteur integre de Chrome n implementent pas ces API et ne sont pas affectes par cet exploit particulier.
Votre infrastructure est-elle exposee ?
Ayi NEDJIMI realise des audits de securite cibles pour identifier et corriger vos vulnerabilites avant qu elles ne soient exploitees.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires (1)
Laisser un commentaire