Adobe Acrobat: Ungepatchte Zero-Day-Lücke bedroht russische Energiewirtschaft

Eine schwerwiegende Sicherheitslücke in Adobe Acrobat Reader wird seit Monaten gezielt gegen die russische Öl- und Gasindustrie eingesetzt. Die ungepatchte Zero-Day-Schwachstelle erlaubt Angreifern den Diebstahl sensibler Systemdaten über manipulierte PDF-Dateien.

Gezielte Angriffe mit perfiden PDF-Dokumenten

Die Entdeckung der Schwachstelle, die seit Ende 2025 aktiv ausgenutzt wird, machte der Sicherheitsforscher Haifei Li Anfang April 2026 öffentlich. Sein Exploit-Monitoring-System EXPMON identifizierte eine bis dahin unbekannte Angriffsroute, die selbst die aktuellste Version von Adobe Acrobat Reader umgeht. Der Angriff zielt spezifisch auf Unternehmen der russischen Energiebranche ab.

Während professionelle Hacker gezielt Schwachstellen in Büro-Software ausnutzen, rücken auch mobile Geräte immer stärker in den Fokus von Cyberkriminellen. Ein kostenloser PDF-Ratgeber zeigt Ihnen 5 einfache Schritte, mit denen Ihr Android-Smartphone sofort sicherer vor Malware und Datenmissbrauch wird. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Die Angreifer nutzen professionell gestaltete PDF-Dokumente mit russischsprachigen Inhalten als Köder. Dateinamen wie „Rechnung540.pdf“ oder „Notfallbericht“ sollen Mitarbeiter in Zielorganisationen zum Öffnen verleiten. Sobald das Dokument geöffnet wird, startet automatisch ein stark verschleierter JavaScript-Code – ohne weitere Benutzerinteraktion.

Technischer Kern: Missbrauch privilegierter Schnittstellen

Die Schwachstelle liegt in der Verarbeitung von JavaScript innerhalb von PDF-Dateien. Der Exploit missbraucht spezielle Adobe Acrobat-APIs, die normalerweise für allgemeine Nutzung gesperrt sind. Konkret nutzt er die Funktionen util.readFileIntoStream und RSS.addFeed, um unautorisierten Zugriff auf das lokale Dateisystem zu erlangen.

Das Skript führt zunächst ein umfassendes System-Fingerprinting durch. Es sammelt Betriebssystemversion, Spracheinstellungen und lokale Dateipfade. Diese Daten sendet es an Server der Angreifer, darunter die IP-Adressen 169.40.2.68 und 188.214.34.20. Diese Informationssammlung dient vermutlich als Vorstufe für folgenschwerere Aktionen.

Analysten befürchten, dass die Infrastruktur darauf ausgelegt ist, bei passenden Zielsystemen weitere Schadsoftware nachzuladen. Dies könnte zu Remote-Code-Ausführung oder sogar zum Ausbruch aus der Sandbox führen – und den Angreifern die vollständige Kontrolle über kompromittierte Rechner verschaffen.

Nicht nur veraltete Software am PC, sondern auch ein ungepatchtes Smartphone ist wie eine offene Haustür für Cyberkriminelle. Erfahren Sie in diesem kostenlosen Report, wie Sie durch gezielte Updates Sicherheitslücken schließen und Ihre Daten effektiv vor Hackern schützen. Kostenlosen Android-Update-Ratgeber herunterladen

Langfristige Kampagne mit APT-Merkmalen

Die Spur der Angriffe reicht weiter zurück als zunächst angenommen. Auf Malware-Scanning-Plattformen fanden sich Varianten des Exploits bereits aus November 2025. Die gezielte Auswahl der Opfer und die ausgeklügelte Operationssicherheit deuten auf eine Advanced Persistent Threat (APT)-Gruppe hin.

Die Angreifer filtern ihre Ziele offenbar sorgfältig. In einigen Tests antworteten die Kontrollserver nicht mit weiterer Schadsoftware. Experten vermuten, dass die gefährlichsten Payloads nur an Systeme ausgeliefert werden, die bestimmte Kriterien erfüllen – etwa zur richtigen Unternehmensinfrastruktur gehören oder bestimmte Sicherheitstools nicht aktiviert haben.

Kein Patch in Sicht – Unternehmen müssen selbst handeln

Bis Mitte April 2026 hat Adobe noch keinen Sicherheitspatch für die Schwachstelle veröffentlicht. Das Unternehmen wurde etwa am 7. April informiert und prüft den Bericht. Betroffen ist die aktuelle Produktionsversion Acrobat Reader 26.00121367.

Ohne offizielles Update empfehlen Sicherheitsexperten mehrere Gegenmaßnahmen:
* Netzwerkverkehr auf den String „Adobe Synchronizer“ im User-Agent-Feld überwachen
* Bekannte Angreifer-IPs blockieren
* Für Hochrisiko-Organisationen: Temporär alternative PDF-Betrachter nutzen, die die anfälligen JavaScript-APIs nicht unterstützen
* Besondere Vorsicht bei E-Mail-Anhängen mit Rechnungen oder Energieberichten aus unbekannten Quellen

Die allgegenwärtige Nutzung des PDF-Formats im Berufsalltag macht diese Zero-Day-Lücke zu einer besonders gefährlichen Bedrohung. Bis Adobe reagiert, bleibt die Gefahr akut.

de | boerse | 69126924 |