EXPMON sistemi, Adobe Reader kullanıcılarını hedef alan sofistike bir PDF istismarı tespit etti. Parmak izi alma saldırısı detaylı analizi.
EXPMON sistemi, Adobe Reader kullanıcılarını hedef alan oldukça sofistike bir PDF istismarı tespit etti. Örnek, ilk aşama bir istismar olarak çalışmakta; çeşitli türde bilgileri toplayıp sızdırma kapasitesine sahip olup, ardından uzaktan kod yürütme (RCE) ve sandbox kaçışı (SBX) istismarlarının gelmesi muhtemeldir.
Adobe Reader'ın en güncel sürümünde (26.00121367) çalıştığı doğrulanmış durumda.
"util.readFileIntoStream()" API'si çağrılarak yerel sistemdeki keyfi dosyalar okunabilmektedir.
"RSS.addFeed()" API'si ile toplanan bilgiler uzak sunucuya gönderiliyor ve ek JavaScript kodu alınıyor.
Testler sırasında ek istismar elde edilemedi ancak sunucuya bağlantı sağlandı.
26 Mart'ta EXPMON'a bir PDF örneği gönderildi. Gönderici tarafından "yummy_adobe_exploit_uwu.pdf" şeklinde adlandırılan bu örnek, EXPMON'un gelişmiş "derinlemesine tespit" özelliklerinden birini tetikledi.
Sistem tehdidi anında UI üzerinden veya Web API'leri aracılığıyla raporlar. Bu, ideal ve en hızlı tespit yöntemidir.
Yöneticiler tespit loglarını kontrol edebilir. Göstergeler (Indicators) analistlerin sofistike istismarları ortaya çıkarmasına olanak tanır.
EXPMON'un mimarisi sayesinde milyonlarca log üzerinde anlamlı BDA gerçekleştirilebiliyor.
Örnek üzerinde manuel bir analiz yapıldığında, 9 numaralı obje içerisinde JavaScript çalıştırılmaya çalışıldığı görüldü. JS kodu yoğun şekilde gizlenmiş (obfuscated) durumda.
javascriptapp.t =
app["setTimeOut"](util["stringFromStream"](SOAP["streamDecode"](util["streamFromString"](getField("btn1")["value"]),
("base64"))
Temel olarak, kod "btn1" adlı bir objeden gelen string'i base64 ile çözerek JavaScript olarak çalıştırmaktadır.
Tüm bu veriler URL'nin bir parçası olarak uzak sunucuya (169.40.2.68:45191) gönderiliyor.
Örnek Adobe Reader'ın en güncel sürümünde (26.00121367) başarıyla çalıştırıldı. Bu, sıfır-gün/yamasız zafiyetin aktif olduğunu kanıtlıyor.
Saldırganın kontrolündeki sunucu test sırasında çevrim içi idi. Ancak RCE/SBX istismarı teslim edilmedi.
İstismar kodunu kendi sunucuma bağlanacak şekilde değiştirdim.
Sunucum basit bir satır JavaScript kodu döndürdüğünde —
app.alert("inside the JS returned from the server!")
— bu kod Adobe Reader istemcisi tarafından başarıyla çalıştırıldı.
Sistemi32 dizininden yerel bir .png dosyası okuyup kontrolümdeki sunucuya gönderdiğimde görev başarıyla tamamlandı. Bu, ilk istismarın yerel sistemden geniş hassas veri çalma kapasitesine sahip olduğunu kanıtlıyor.
11 Nisan 2026
Adobe bulgularımızı doğruladı ve tüm Adobe Reader kullanıcıları için acil bir güvenlik güncellemesi yayımladı.
EXPMON tarafından yapılan tespit ve Adobe Reader kullanıcılarını hedef alan sofistike parmak izi alma tarzı PDF istismarına ilişkin analizimizi paylaştık. Bu istismarın Adobe Reader'ın en güncel sürümünde çalışan bir sıfır-gün/yamasız zafiyetten yararlandığı doğrulanmıştır.
Bu istismar, tehdit aktörünün yalnızca yerel bilgileri toplamasına/çalmasına değil, aynı zamanda potansiyel olarak kurbanın sistemini tamamen ele geçirmeye yol açabilecek sonraki RCE/SBX saldırılarını başlatmasına olanak tanımaktadır.
Adobe Reader'ı en güncel sürüme güncelleyin. Resmi yama/güncellemeyi en kısa sürede uygulayın.
Güvenilmeyen kaynaklardan gelen PDF dosyalarını açmaktan kaçının.
169.40.2.68:45191 IP adresini engelleyin ve izleyin.
User Agent'ta "Adobe Synchronizer" string'i bulunan HTTP/HTTPS trafiğini izleyin.
Gelişmiş Sıfır-Gün Tespit Sistemi
Şüpheli PDF örnekleriyle karşılaşırsanız, bunları EXPMON Public'e göndermeyi düşünebilirsiniz. EXPMON sistemi, sofistike PDF sıfır-gün istismarlarıyla mücadele etmek için gelişmiş "derinlemesine tespit" özellikleri kullanır.
Endpoint güvenliği, bulut altyapısı ve uyumluluk çözümlerimizle organizasyonunuzu siber tehditlere karşı koruyoruz.