Una falla in Adobe Acrobat Reader viene sfruttata attivamente da almeno quattro mesi, eppure non esiste ancora una correzione ufficiale. La situazione è piuttosto seria: dei criminali informatici utilizzano tecniche di phishing per convincere i dipendenti delle aziende a scaricare documenti PDF infetti che, una volta aperti, eseguono codice malevolo in modo del tutto automatico.
A scoprire il problema è stato il ricercatore di sicurezza Haifei Li, che in un post pubblicato nei primi giorni di aprile ha spiegato di aver individuato un exploit che sfrutta una vulnerabilità nelle API di Adobe Reader. Il meccanismo è subdolo: all’interno del file PDF si nasconde del codice JavaScript offuscato che parte nel momento stesso in cui il documento viene aperto. E le sue capacità non sono banali. Può accedere ai file presenti sul computer compromesso, raccogliere informazioni di sistema come i parametri linguistici, il numero di versione di Adobe Reader, la versione esatta del sistema operativo e perfino il percorso locale del file PDF. Tutte queste informazioni vengono poi inviate a un server remoto controllato dagli attaccanti, che possono utilizzarle per pianificare attacchi successivi, compresa l’installazione di strumenti di accesso remoto.
Li ha testato il malware sulla versione più recente di Adobe Reader (26.00121367) e ha confermato che funzionava ancora perfettamente. Il giorno dopo la pubblicazione del suo rapporto, il 8 aprile, ha aggiunto che una variante del malware risalente a novembre era stata individuata da un altro ricercatore, il che fa pensare che lo sfruttamento fosse in corso almeno da quella data. Adobe, contattata per un commento, non ha fornito alcuna risposta.
Adobe Reader nel mirino: una storia che si ripete
Non è certo la prima volta che Adobe Reader finisce nel mirino dei cybercriminali. Le vulnerabilità che lo riguardano risalgono almeno al 2007, quando venne scoperta una falla in un plug-in per browser. Le false richieste di aggiornamento di Adobe Reader sono da tempo una delle tecniche preferite dai pirati informatici. Anche le vulnerabilità di tipo “use after free” sono piuttosto comuni: i ricercatori di Zeropath ne avevano descritta una l’anno scorso, classificata come CVE-2025-54257.
Kellman Meghu, direttore tecnico della società canadese DeepCove Security, ha definito questa falla “molto rischiosa”. Al momento il malware sembra limitarsi all’esfiltrazione di dati, ma secondo Meghu potrebbe essere trasformato in un vettore per l’esecuzione di codice da remoto. Ha inoltre precisato che si tratta di una vulnerabilità “zero click”: il semplice fatto di visualizzare il PDF in un browser o in una mail potrebbe bastare a innescarla. Il suo consiglio è chiaro: disattivare JavaScript in Acrobat, almeno fino a quando non sarà disponibile un correttivo ufficiale.
Johannes Ullrich, responsabile della ricerca al SANS Institute, ha ricordato che Adobe Acrobat e Reader sono spesso bersaglio di exploit sofisticati che sfruttano funzionalità come JavaScript o la possibilità di incorporare vari tipi di documenti all’interno di un PDF. Ha raccomandato ai responsabili della sicurezza di assicurarsi che i proxy web e i gateway di posta elettronica dispongano di filtri attivi per bloccare i PDF non conformi agli standard e per eliminare quelli che sfruttano funzionalità notoriamente problematiche.
Il rischio è concreto e richiede azione immediata
Adam Marrè, RSSI presso Arctic Wolf, ha dichiarato che ciò che rende questa vulnerabilità particolarmente preoccupante è il fatto che venga sfruttata attivamente e che sembri funzionare anche su sistemi completamente aggiornati. L’accesso iniziale si ottiene con un gesto banale come l’apertura di un file PDF, il che significa che le organizzazioni dovrebbero trattare la situazione come un incidente di sicurezza reale e immediato. L’impatto potenziale va da un’esposizione limitata dei dati ad attività più gravi, qualora gli attaccanti riuscissero a distribuire ulteriori payload. Secondo Marrè, quando uno strumento considerato affidabile supera improvvisamente la soglia di rischio accettabile, la priorità diventa ridurre l’esposizione e migliorare la capacità di monitoraggio, riesaminando dove il software sia davvero necessario e rafforzando la gestione dei contenuti non affidabili.
