4月10日,安全研究员 Haifei Li 披露,一个影响 Adobe Acrobat Reader 的零日漏洞自去年12月起已遭黑客活跃利用,至今至少持续四个月。用户仅需打开一份 PDF 文件,无需任何额外操作,即可被攻陷。
四个月的沉默
这不是一次”闪电式”的攻击——这是一场持续了至少四个月的隐秘入侵。
安全研究员 Haifei Li 的调查发现,攻击者自2024年12月起便开始利用 Adobe Acrobat Reader 中一个未被公开披露、也未被打补丁的零日漏洞(0-day)发起攻击。四个月的时间,足以让攻击者渗透大量目标、窃取大量数据,而安全社区和终端用户对此几乎一无所知。
更令人不安的是,Haifei Li 已将完整情况通报给 Adobe,但截至目前,Adobe 尚未作出任何公开回应,也未发布紧急安全更新。Bleeping Computer 的质询同样石沉大海。
在安全事件的应急响应中,时间的流逝直接等同于风险的增加。每一份被打开的恶意 PDF,都可能是下一个受害者。
攻击机制:打开即中招
本次攻击最可怕的地方在于其极低的交互门槛。
用户不需要点击链接、不需要启用宏、不需要关闭任何安全提示——只需要做一件所有人都做过无数次的动作:打开一份 PDF 文件。
攻击的技术路径如下:
第一步:诱饵投放。 攻击者传播包含诱导内容的 PDF 文档。另一名漏洞分析师 Gi7w0rm 发现,本次攻击使用的 PDF 文档包含俄语内容,涉及俄罗斯石油、天然气行业相关事件。这说明攻击具有明确的定向性——攻击者清楚自己的目标是谁,并精心设计了符合目标兴趣的”鱼饵”。
第二步:漏洞触发。 PDF 文件一旦被 Acrobat Reader 打开,其中嵌入的恶意代码便会自动触发零日漏洞。值得注意的是,该漏洞在最新版 Acrobat Reader 中依然有效,这意味着升级到最新版并不能提供任何保护。
第三步:数据窃取。 利用 Acrobat 的内部 API——如 util.readFileIntoStream(读取本地文件流)和 RSS.addFeed(添加 RSS 订阅源,可作为隐蔽通信通道)——攻击者可以从受感染设备中提取数据并外传。
第四步:后续渗透。 Haifei Li 警告称,这套漏洞利用链不仅限于信息收集。攻击者还可以在此基础上发起远程代码执行(RCE)或沙箱逃逸(SBX)攻击,最终完全控制受害者的电脑。
从一个 PDF 到完全控制一台电脑,全程不需要用户做任何”错事”。
技术细节:利用 Acrobat API 绕过安全边界
本次攻击的技术亮点在于对 Acrobat 内部 API 的深度利用:
util.readFileIntoStream:该 API 原本用于 Acrobat 内部的文件操作功能,攻击者将其”武器化”,用于读取受害者设备上的任意文件内容。这意味着攻击者可以窃取文档、配置文件、密钥文件等敏感数据。RSS.addFeed:一个看似无害的 RSS 订阅功能,却被用作隐蔽的数据外传通道。与直接发起网络连接不同,通过 RSS 订阅机制传输数据更容易绕过网络防火墙和安全监测工具——因为从外部看,这只是一个”正常的 RSS 订阅请求”。
这种”就地取材”的攻击手法体现了供应链攻击的一贯思路:不引入外部工具,而是利用目标环境中原有的功能来实现恶意目的,从而最大程度地降低被检测的风险。
攻击画像:谁是幕后黑手?
虽然目前尚无明确的攻击组织归因,但以下几个线索值得注意:
目标定向性强。 PDF 中的俄语内容涉及俄石油天然气行业,这暗示攻击目标可能是俄罗斯能源行业的相关人员或组织。定向攻击通常意味着攻击者具备一定的情报收集能力和明确的战略目的。
攻击成熟度高。 利用零日漏洞、结合 Acrobat API 实现数据窃取、具备后续 RCE 和沙箱逃逸能力——这种完整的攻击链设计,超出了普通黑客的技术水平,指向了具有较高资源和技术能力的攻击团队。
持续时间长。 四个月的持续利用说明攻击者对这个漏洞的价值有充分信心,并且有能力在长时间内保持攻击活动而不被发现。
临时缓解措施
在 Adobe 发布官方修复之前,用户可以采取以下措施降低风险:
非技术用户:
- 不要打开来路不明的 PDF 文件,尤其是来自邮件附件、即时通讯工具或不明网站的 PDF
- 对声称来自”银行””政府””合作伙伴”的 PDF 保持高度警惕,通过其他渠道核实发件人身份
- 考虑暂时使用非 Adobe 的 PDF 阅读器(如浏览器内置 PDF 查看器)作为替代方案
专业用户:
- 在网络防火墙或代理层面,阻止 User-Agent 头中包含 “Adobe Synchronizer” 字符串的 HTTP/HTTPS 流量。这是 Haifei Li 给出的技术缓解建议,可以有效阻断漏洞利用过程中的通信环节
- 在终端层面,使用 EDR 或行为监测工具关注 Acrobat Reader 的异常行为,尤其是异常的文件读取和网络连接活动
- 对高价值系统,考虑暂时禁用 Acrobat Reader 或将其运行在隔离的虚拟环境中
组织层面:
- 在邮件网关处加强对 PDF 附件的扫描和过滤
- 通过安全策略限制 Acrobat Reader 的 JavaScript 执行功能
- 密切关注 Adobe 的安全公告,修复补丁发布后立即组织升级
写在最后
当一个漏洞被利用了四个月仍未被修补,问题就不再只是技术层面的了。
Adobe Acrobat Reader 是全球使用最广泛的 PDF 阅读器之一,其用户基数覆盖了从普通消费者到政府机构、金融企业、能源公司等各个领域。一个”打开即中招”的零日漏洞,在这四个月里究竟影响了多少用户、窃取了多少数据,目前还是一个未知数。
而 Adobe 的沉默,让这个未知数变得更加令人不安。
在安全事件应急中,厂商的响应速度和透明度,与漏洞本身的技术严重程度同等重要。用户有权知道他们是否处于风险之中,以及他们应该做什么。
在补丁到来之前,唯一的防线,是你对每一个 PDF 文件的警惕。
参考来源:BleepingComputer / 安全研究员 Haifei Li 披露
