0-Day-Sicherheitslücke in Adobe Reader seit Dezember 2025 ausgenutzt | Borns IT und Windows BlogBorns IT
Es gibt eine 0-Tage-Sicherheitslücke im Adobe Reader (und anderen Readern wie Foxit). Um diese Sicherheitslücke auszunutzen, reicht es aus, ein PDF-Dokument zu öffnen. Seit Dezember 2025 nutzen Angreifer diese 0-Tage-Schwachstelle im Adobe Reader aus. Ein Sicherheitsforscher hat nun Alarm geschlagen.
Ich habe in den letzten Tagen bereits auf verschiedenen Kanälen Informationen zu X gesehen. Kollegen von Bleeping Computer berichten hier über das Problem, Golem hat es hier behandelt.
Der Sicherheitsforscher Haifei Li hat in seiner Sandbox-basierten Exploit-Erkennungsplattform Probleme mit PDF-Readern, insbesondere Adobe, aber auch Foxit-Readern, festgestellt. Haifei Li wies bereits am 7. April 2026 in diesem Tweet auf das Problem hin. Darin schrieb er, dass die EXPMON-Plattform einen raffinierten Zero-Day-Fingerprinting-Angriff entdeckt habe, der sich gegen Adobe-Reader-Benutzer richtete.
Sehr interessant (und ausgefeilt) ist das „Fingerprinting“ von Adobe Reader PDF, das die 0-Day-Schwachstelle ausnutzt und die Einführung weiterer Exploits ermöglicht.
Exploits des Details
Weitere Einzelheiten finden Sie im Blog vom 7. April 2026. Nach der Analyse des Sicherheitsforschers handelt es sich bei dem Malware-Beispiel um einen ersten Exploit, der verschiedene Arten von Informationen sammeln und weitergeben kann. Es wird vermutet, dass weitere Exploits für Remote Code Execution (RCE) und Sandbox Escape (SBX) eingesetzt werden könnten.
Der Exploit nutzt eine Zero-Day- oder ungepatchte Schwachstelle in Adobe Reader aus, die die Ausführung privilegierter Acrobat-APIs ermöglicht. Konkret ruft der Exploit die API auf util.readFileIntoStream() Dadurch können beliebige Dateien (zugänglich für den Sandbox-Reader-Prozess) auf dem lokalen System gelesen werden. Auf diese Weise kann eine Malware verschiedene Informationen vom lokalen System sammeln und Daten aus lokalen Dateien stehlen.
die API RSS.addFeed() Der Aufruf dient zwei Zwecken: um vom lokalen System empfangene Informationen an einen Remote-Server zu senden und um zusätzlichen auszuführenden JavaScript-Code zu empfangen. Der von Haifei Li verfasste Exploit funktioniert nachweislich mit der neuesten Version von Adobe Reader.
Auch Foxit Reader wird angegriffen
Der Sicherheitsforscher veröffentlichte einen zweiten Blogbeitrag, in dem er den FoxIt-Reader als verwundbar identifizierte. Heute bin ich mir nicht sicher, ob es sich um einen weiteren Exploit handelt.
Laut dem Threat-Intelligence-Analysten Gi7w0rm, der diesen Adobe Reader-Exploit ebenfalls untersuchte, stellte er fest, dass die bei diesen Angriffen gesendeten PDF-Dokumente Parodien in russischer Sprache enthielten, die sich auf aktuelle Ereignisse in der russischen Öl- und Gasindustrie bezogen. Seit Dezember 2025 kommt es zu Ausbeutungen.
In allen Beispielen scheint es sich im Reader um ein JavaScript-Gateway zu handeln. CyberSecurity News hat in diesem Artikel einige Maßnahmen (basierend auf den Ratschlägen von Haifei Li) zusammengefasst. Ich habe alles geändert:
- Öffnen Sie keine PDF-Dateien aus unbekannten, nicht vertrauenswürdigen oder nicht überprüften Quellen.
- Um sicher zu gehen, laden Sie PDF-Dokumente für eine erste Prüfung auf virustotal.com hoch. Laden Sie es dann bei Bedarf auf die Sandbox-basierte Exploit-Erkennungsplattform EXPMON hoch und überprüfen Sie es.
- Netzwerkadministratoren sollten ausgehenden Datenverkehr überwachen und blockieren, der mit der IP-Adresse 169.40.2.68 auf Port 45191 kommuniziert.
- Sicherheitsbeamte sollten den HTTP- und HTTPS-Netzwerkverkehr sorgfältig auf verdächtige Aktivitäten untersuchen, die die Zeichenfolge „Adobe Synchronizer“ im Feld „Benutzeragent“ enthalten.
Das Problem bei dem oben genannten Ansatz besteht darin, dass dies von normalen Benutzern wahrscheinlich nicht durchgeführt werden kann. Wenn eine PDF-Dokumentdatei von einem vermeintlichen Kunden stammt, hat der Mitarbeiter ein Problem. Das zweite Problem, das ich sehe, ist, dass Browser PDF-Dokumente anzeigen können und ein Link zu einer PDF-Dokumentdatei schnell ausgewählt wird und das Dokument als PDF geöffnet wird. Microsoft Edge sollte nun Adobe Reader integrieren.
PakarPBN
A Private Blog Network (PBN) is a collection of websites that are controlled by a single individual or organization and used primarily to build backlinks to a “money site” in order to influence its ranking in search engines such as Google. The core idea behind a PBN is based on the importance of backlinks in Google’s ranking algorithm. Since Google views backlinks as signals of authority and trust, some website owners attempt to artificially create these signals through a controlled network of sites.
In a typical PBN setup, the owner acquires expired or aged domains that already have existing authority, backlinks, and history. These domains are rebuilt with new content and hosted separately, often using different IP addresses, hosting providers, themes, and ownership details to make them appear unrelated. Within the content published on these sites, links are strategically placed that point to the main website the owner wants to rank higher. By doing this, the owner attempts to pass link equity (also known as “link juice”) from the PBN sites to the target website.
The purpose of a PBN is to give the impression that the target website is naturally earning links from multiple independent sources. If done effectively, this can temporarily improve keyword rankings, increase organic visibility, and drive more traffic from search results.
Related Posts
Fenster härten: Neue Phasen für den 14. April 2026 | Borns IT und Windows BlogBorns IT
Das Open-Source-Projekt ReClip zielt darauf ab, Video-Downloads von Plattformen zu ermöglichen | Borns IT und Windows BlogBorns IT
