Investigadores de seguridad han confirmado la explotación activa de una vulnerabilidad zero‑day en Adobe Acrobat Reader, utilizada por actores maliciosos al menos desde diciembre mediante documentos PDF especialmente manipulados. La campaña se caracteriza por su alto nivel de sofisticación, ya que no requiere más interacción por parte de la víctima que abrir el archivo PDF, incluso en versiones plenamente actualizadas del software.
Al abrir el documento, se ejecuta código JavaScript embebido y ofuscado que aprovecha una debilidad no parcheada en el manejo interno de objetos de Acrobat Reader. Este código permite a los atacantes acceder a APIs privilegiadas del propio lector, facilitando la recopilación de información del sistema afectado, como versión del sistema operativo, configuración del entorno o rutas locales. Esta información es enviada a servidores controlados por los atacantes con el fin de perfilar a la víctima y evaluar el interés del objetivo.
Los análisis indican que esta fase inicial puede servir como antesala de ataques más graves, ya que, en función del perfil obtenido, los atacantes podrían desplegar fases posteriores del ataque para lograr ejecución remota de código, evasión del sandbox o un compromiso más profundo del sistema. La vulnerabilidad está siendo utilizada en campañas dirigidas, con documentos señuelo diseñados para resultar creíbles y pasar desapercibidos, lo que incrementa el riesgo tanto para usuarios particulares como para entornos profesionales y pymes.
¿Cómo funciona la vulnerabilidad?
La vulnerabilidad se basa en el abuso de una falla no corregida en la gestión de objetos JavaScript dentro de Adobe Acrobat Reader, que permite a un PDF especialmente diseñado ejecutar APIs privilegiadas del propio lector. En concreto, el documento PDF malicioso contiene scripts JavaScript ofuscados que se ejecutan automáticamente al abrir el archivo. Estos scripts aprovechan APIs internas como util.readFileIntoStream o RSS.addFeed, normalmente restringidas, para acceder a información local del sistema, como archivos, rutas o configuración del entorno. El exploit actúa en dos fases:
- Fase de reconocimiento: el PDF realiza fingerprinting del sistema, recopilando información sobre el sistema operativo, versión de Adobe, idioma y otros datos relevantes, que son enviados a servidores controlados por los atacantes.
- Fase potencial de ataque avanzado: en función del perfil obtenido, los atacantes pueden decidir desplegar cargas adicionales, incluyendo ejecución remota de código o técnicas de escape del sandbox, facilitando un compromiso más profundo del sistema afectado.
Todo este proceso se produce sin interacción adicional del usuario, más allá de abrir el PDF, lo que convierte la vulnerabilidad en especialmente peligrosa en entornos corporativos.
Medidas de protección para la ciudadanía
- Actualizar Adobe Acrobat Reader en cuanto exista una versión corregida, manteniendo activas las actualizaciones automáticas.
- No abrir archivos PDF de remitentes desconocidos o inesperados, aunque aparenten ser facturas, avisos o documentos oficiales.
- Desactivar JavaScript en Adobe Reader si no es necesario, reduciendo el riesgo de ejecución de código oculto.
- Utilizar soluciones antivirus actualizadas, capaces de analizar documentos PDF antes de abrirlos.
- Desconfiar de PDFs recibidos por correo, mensajería o redes sociales, especialmente si generan urgencia o alarma.
Medidas de protección para pymes
- Aplicar parches de seguridad de Adobe de forma prioritaria, asegurando que todos los equipos utilizan versiones actualizadas de Acrobat y Reader.
- Bloquear o filtrar PDFs sospechosos en el correo corporativo, utilizando pasarelas de seguridad con análisis en sandbox.
- Deshabilitar JavaScript en lectores PDF corporativos, salvo en puestos donde sea estrictamente necesario.
- Implantar visores PDF alternativos con menor superficie de ataque para tareas que no requieran funcionalidades avanzadas.
- Concienciar a empleados mediante formación básica, recordando los riesgos asociados a la apertura de documentos PDF no verificados.
- Monitorizar tráfico de red anómalo, especialmente conexiones iniciadas tras la apertura de archivos PDF.
Más información:
- Fuente: unaaldia.hispasec.com.
