Une faille dans Adobe Acrobat Reader non corrigée exploitée depuis des mois

Des cybercriminels exploitent une vulnérabilité affectant l'application Acrobat Reader d'Adobe depuis des mois et incitent les employés à télécharger des documents PDF infectés par le biais de techniques de phishing.

Les utilisateurs d'Adobe Acrobat Reader sont exposés à de grands risques de sécurité. Selon un chercheur, une faille dans ce lecteur de PDF gratuit aurait été exploitée en toute discrétion depuis près de quatre mois, permettant de voler des données sur des systèmes infectés et de mener d'autres activités malveillantes. Dans un billet de blog publié cette semaine, Haifei Li explique avoir identifié un premier exploit tirant partie d'une vulnérabilité API d'Adobe Reader débouchant sur des attaques par malware intégrant du code JavaScript piégé s’exécutant automatiquement à l’ouverture d'un fichier PDF infecté. Ses capacités sont variées : ouverture de fichiers présents sur l’ordinateur compromis, recueil d'informations système telles que les paramètres linguistiques, le numéro de version d’Adobe Reader, la version exacte du système d’exploitation, et le chemin d’accès local du fichier PDF. Le chercheur en sécurité indique avoir trouvé cette menace avec Expom, un outil public de surveillance d'exploits servant à l'analyse d'échantillons pour détecter des zero day.

Le code JavaScript malveillant transmet ensuite ces données à un serveur distant contrôlé par des pirates. De préciseuses informations utiles pour lancer de futures attaques, notamment l’installation d’outils d’accès à distance, a noté Haifei Li. Dans son rapport du 7 avril, le chercheur a indiqué avoir testé le malware contenant du code JavaScript malveillant sur la dernière version d'Adobe Reader (26.00121367), et que celui-ci fonctionnait toujours. Dans une mise à jour publiée le jour suivant, il a ajouté qu'une variante datant de novembre dernier avait été découverte par un autre chercheur, ce qui suggère que ce malware était utilisé au moins depuis cette date. Sollicité pour un commentaire suite à ce rapport, Adobe n'a pas daigné répondre.

Des techniques de piratage bien rodées

Ce n'est pas la première fois qu'Adobe Reader est pris pour cible. Les vulnérabilités le concernant remontent au moins à 2007, lorsqu'une faille a été découverte dans un plug-in pour navigateur. Les fausses mises à jour d'Adobe Reader constituent également l'une des techniques préférées des cybercriminels. Les vulnérabilités de type « user-after-free » sont également courantes ; les chercheurs de Zeropath en ont décrit une l'année dernière, la CVE-2025-54257.

Outre l'application des correctifs dès leur mise à disposition, les RSSI doivent veiller à ce que les employés suivent régulièrement des formations de sensibilisation à la sécurité, comprenant notamment des mises en garde contre l'ouverture de fichiers PDF, même ceux qui semblent provenir de sources fiables telles que des collègues ou des supérieurs hiérarchiques. Les cybercriminels ont pour habitude d'utiliser diverses tactiques pour inciter un utilisateur à ouvrir une pièce jointe, notamment en utilisant des objets de type « Urgent » ou « Informations sur la prime ». La pièce jointe elle-même peut porter un nom qui suggère son importance ; dans ce cas précis, la variante de novembre portait le nom de fichier « Invoice504.pdf ». Selon un rapport sur ce nouveau logiciel malveillant déposé sur le site d'analyse de logiciels malveillants VirusTotal, sur lequel tout le monde peut télécharger des fichiers suspects pour qu'ils soient examinés, le destinataire doit ouvrir la pièce jointe spécifiquement avec Adobe Acrobat Reader.

Un exploit à haut risque

Kellman Meghu, directeur technique de la société canadienne DeepCove Security, spécialisée dans la gestion des incidents, a qualifié cette faille de « très risquée ». Pour l'instant, il semble que ce logiciel malveillant se contente d'exfiltrer des données, a-t-il déclaré. Mais cela implique qu'il est possible de le transformer en un vecteur permettant l'exécution de code à distance. « Il s'agit d'une [vulnérabilité] zéro clic, a ajouté M. Meghu, « ce qui signifie que le simple fait de l'afficher dans un navigateur ou un e-mail suffit probablement à la déclencher. » Les responsables de la sécurité informatique devraient contrer cette menace en désactivant JavaScript dans Acrobat, soit par défaut, soit jusqu'à ce qu'un correctif soit disponible, a-t-il déclaré. « Mais pour être honnête », a-t-il ajouté, « je pense que l'exécution de JavaScript est généralement une mauvaise idée dans Adobe Reader », et qu'elle devrait donc être désactivée. Johannes Ullrich, doyen de la recherche au SANS Institute, a noté qu’Adobe Acrobat et Reader ont souvent été la cible d’exploits sophistiqués. Ceux-ci tirent fréquemment parti de fonctionnalités telles que JavaScript, ou exploitent la possibilité d’inclure, ou d’imbriquer, divers types de documents à l’intérieur d’un PDF. De nombreux filtres anti-malware détectent et signalent ces types de documents comme malveillants, a-t-il déclaré. « Les RSSI devraient s’assurer que les proxy web et les passerelles de messagerie disposent de filtres activés pour bloquer les PDF qui ne sont pas entièrement conformes aux normes, et pour éliminer les PDF exploitant des fonctionnalités connues pour être problématiques, comme JavaScript », a-t-il déclaré. « Toute pièce jointe de ce type devrait également indiquer clairement qu’elle provient d’une source extérieure à l’organisation. » « Malheureusement », a-t-il ajouté, « les PDF sont encore très courants et ne peuvent pas être complètement éliminés. »

Adam Marrè, RSSI chez Arctic Wolf, a déclaré que ce qui rend cette nouvelle vulnérabilité particulièrement préoccupante, c'est qu'elle est activement exploitée et semble fonctionner même sur des systèmes entièrement mis à jour. Cela augmente immédiatement le niveau de risque. « Même sans avoir une visibilité complète sur l'ensemble de la chaîne d'attaque, le fait que l'accès initial puisse être obtenu par un geste aussi banal que l'ouverture d'un fichier PDF signifie que les organisations doivent considérer cela comme un incident de sécurité réel et immédiat », a-t-il déclaré. « À partir de là, l’impact potentiel peut aller d’une exposition limitée des données à des activités de suivi si les attaquants parviennent à déployer des charges utiles supplémentaires. » Il s’agit alors de gérer le risque en temps réel, a-t-il souligné. « Lorsqu’un outil de confiance dépasse soudainement le seuil de risque acceptable d’une organisation, la priorité passe à la réduction de l’exposition et à l’amélioration de la visibilité. Cela peut impliquer de réévaluer où le logiciel est réellement nécessaire, de renforcer la gestion des contenus non fiables et de s’assurer qu’une surveillance est en place pour détecter rapidement tout comportement anormal », a-t-il déclaré. « Ce qui se passe après le confinement est tout aussi important », a-t-il ajouté. « Des incidents comme celui-ci sont l’occasion d’évaluer quels contrôles ont tenu bon, où des failles sont apparues et comment mettre en œuvre ces enseignements. Les menaces liées au comportement quotidien des utilisateurs ne disparaîtront pas, la résilience dépend donc d’un apprentissage rapide et d’une adaptation tout aussi rapide. »