Lỗ hổng Zero-Day trong Adobe Reader cho phép đánh cắp dữ liệu và thực thi mã từ xa

Hệ thống phát hiện mối đe dọa EXPMON vừa công bố phân tích về một lỗ hổng zero-day cực kỳ tinh vi trong Adobe Reader, được phát hiện qua một file PDF độc hại được gửi lên hệ thống vào ngày 26/03/2026. Lỗ hổng cho phép kẻ tấn công đánh cắp dữ liệu cục bộ và tiềm ẩn khả năng thực thi mã từ xa (RCE) cũng như thoát sandbox (SBX) — tất cả chỉ bằng việc nạn nhân mở một file PDF mà không cần bất kỳ tương tác nào khác. Adobe đã xác nhận lỗ hổng và phát hành bản vá khẩn cấp vào ngày 11/04/2026. Đáng chú ý, bằng chứng cho thấy chiến dịch tấn công này đã âm thầm diễn ra ít nhất 4 tháng trước khi bị phát hiện.

Thông tin chi tiết

• Định danh lỗ hổng: CVE-2026-34621

• Điểm CVSS (3.1): 8.6

• Mức độ nghiêm trọng: CRITICAL

• Mô tả: Lỗ hổng cho phép khai thác trái phép các Acrobat API đặc quyền trong Adobe Reader mà không cần xác thực hay tương tác người dùng ngoài việc mở file PDF. Cụ thể, kẻ tấn công lợi dụng API util.readFileIntoStream() để đọc file tùy ý trên hệ thống cục bộ, và API RSS.addFeed() để gửi dữ liệu thu thập được tới máy chủ do kẻ tấn công kiểm soát, đồng thời nhận và thực thi mã JavaScript bổ sung từ xa. Cơ chế này cho phép thực hiện fingerprinting nâng cao, đánh cắp dữ liệu nhạy cảm, và mở đường cho các cuộc tấn công RCE hoặc SBX tiếp theo.

• Phiên bản bị ảnh hưởng: Adobe Reader tất cả các phiên bản trước bản vá khẩn cấp (đã xác nhận ảnh hưởng đến phiên bản mới nhất 26.001.21367 tại thời điểm phát hiện)

Adobe Reader (hay Acrobat Reader) là phần mềm đọc file PDF phổ biến nhất thế giới, được sử dụng rộng rãi trên cả môi trường cá nhân lẫn doanh nghiệp. Phần mềm tích hợp một engine JavaScript (Acrobat JS) cho phép xử lý các tính năng tương tác trong PDF, đồng thời cung cấp một môi trường sandbox nhằm cô lập các tác vụ nguy hiểm. Chính sự phổ biến và độ phức tạp của engine này khiến Adobe Reader trở thành mục tiêu hấp dẫn của các nhóm tấn công nâng cao (APT).

Mới đây trên trang chủ của EXPMON đã đăng tải thông tin về một lỗ hổng zero-day nguy hiểm đang tồn tại trong sản phẩm này. Cụ thể, lỗ hổng được định danh CVE-2026-34621, cho phép kẻ tấn công lạm dụng các Acrobat API đặc quyền — cụ thể là util.readFileIntoStream() và RSS.addFeed() — để đọc file tùy ý trên hệ thống cục bộ và gửi dữ liệu thu thập được tới máy chủ do kẻ tấn công kiểm soát, đồng thời nhận và thực thi mã độc từ xa. Lỗ hổng đã được xác nhận hoạt động trên phiên bản Adobe Reader mới nhất tại thời điểm phát hiện và không yêu cầu bất kỳ tương tác nào từ phía người dùng ngoài việc mở file PDF.

Cũng theo EXPMON, để khai thác lỗ hổng này, kẻ tấn công cần tổ chức một cuộc tấn công kiểu fingerprinting nhiều giai đoạn, được thiết kế để chọn lọc mục tiêu trước khi triển khai payload nguy hiểm hơn. Chuỗi tấn công diễn ra như sau:

• Giai đoạn 1 — Thu thập thông tin: Khi nạn nhân mở file PDF độc hại, mã JavaScript được nhúng bên trong (bị obfuscate nhiều lớp, bao gồm base64 encoding) tự động thực thi. Script gọi API util.readFileIntoStream() để đọc các file cục bộ (ví dụ: ntdll.dll) nhằm xác định chính xác phiên bản OS, đồng thời thu thập ngôn ngữ hệ thống, phiên bản Adobe Reader và đường dẫn file PDF.

• Giai đoạn 2 — Gửi dữ liệu & nhận lệnh: Toàn bộ thông tin thu thập được gửi tới máy chủ 169.40.2.68:45191 thông qua API RSS.addFeed(). Máy chủ phân tích thông tin và có thể trả về mã JavaScript bổ sung được mã hóa (nhằm né tránh phát hiện qua mạng) để thực thi trực tiếp trên Adobe Reader của nạn nhân.

• Giai đoạn 3 — Khai thác nâng cao (tiềm ẩn): Nếu nạn nhân đáp ứng điều kiện của kẻ tấn công, máy chủ sẽ gửi payload RCE hoặc SBX để chiếm toàn quyền kiểm soát hệ thống. Trong quá trình kiểm tra, EXPMON xác nhận rằng cơ chế nhận và thực thi JavaScript từ xa hoạt động hoàn toàn, đồng thời xác nhận khả năng đánh cắp file tùy ý từ hệ thống nạn nhân.

Đáng chú ý, thông báo mới nhất của mình, EXPMON cho biết một biến thể mới của chiến dịch này đã được phát hiện vào ngày 08/04/2026, kết nối tới IP 188.214.34.20:34123, với mẫu xuất hiện trên VirusTotal từ ngày 28/11/2025 — cho thấy đây là một chiến dịch APT đã hoạt động ít nhất 4 tháng trước khi bị phát hiện.

Các tổ chức, doanh nghiệp cần theo dõi các chỉ số sau để phát hiện dấu hiệu khai thác:

• IP độc hại đã biết:

  • 169.40.2.68:45191 (mẫu gốc)

  • 188.214.34.20:34123 (biến thể mới, phát hiện 08/04/2026)

• Lưu lượng mạng bất thường: Các kết nối HTTP/HTTPS từ tiến trình Adobe Reader tới máy chủ lạ, đặc biệt các request chứa chuỗi "Adobe Synchronizer" trong trường User-Agent

• Hành vi tiến trình: Adobe Reader thực hiện đọc file hệ thống bất thường (ví dụ: ntdll.dll, các file trong System32) hoặc gửi dữ liệu ra ngoài mạng

Tuy nhiên,việc chặn các IP đã biết chỉ là biện pháp tạm thời. Kẻ tấn công có thể dễ dàng thay đổi hạ tầng. Các chuyên gia an ninh mạng thuộc EXPMON khuyến nghị các tổ chức, doanh nghiệp nên giám sát dựa trên hành vi và User-Agent sẽ hiệu quả hơn trong dài hạn.

Khắc phục & Khuyến nghị

Hãng Adobe đã xác nhận lỗ hổng và phát hành bản vá khẩn cấp. Các tổ chức, doanh nghiệp và người dùng sử dụng Adobe Reader cần thực hiện:

1. Cập nhật Adobe Reader ngay lập tức lên phiên bản đã được vá theo hướng dẫn tại APSB26-43.

2. Nâng cao cảnh giác với file PDF từ nguồn không tin cậy: Không mở file PDF từ email hoặc nguồn lạ cho đến khi đã cập nhật bản vá.

3. Chặn và giám sát các IP độc hại đã biết: Block 169.40.2.68:45191 và 188.214.34.20:34123 tại firewall, đồng thời theo dõi các kết nối tương tự.

4. Giám sát lưu lượng mạng: Thiết lập cảnh báo cho các kết nối HTTP/HTTPS từ tiến trình Adobe Reader chứa chuỗi "Adobe Synchronizer" trong User-Agent.

5. Biện pháp tạm thời (nếu chưa thể cập nhật ngay): Cân nhắc vô hiệu hóa JavaScript trong Adobe Reader (Edit → Preferences → JavaScript → Uncheck "Enable Acrobat JavaScript") và hạn chế mở file PDF trực tiếp từ email.

Tham khảo

1. EXPMON detected sophisticated zero-day fingerprinting attack targeting Adobe Reader users

2. Adobe Security Advisory APSB26-43

3. Hackers exploiting Acrobat Reader zero-day flaw since December