Adobe ha publicado una actualización de seguridad de emergencia para Acrobat Reader, corrigiendo la vulnerabilidad CVE-2026-34621, una vulnerabilidad crítica de contaminación de prototipos que ha sido explotada activamente desde al menos noviembre de 2025.
Esta vulnerabilidad permite la ejecución de código arbitrario cuando un usuario abre un archivo PDF especialmente diseñado. Adobe publicó la solución bajo el boletín APSB26-43 el 11 de abril de 2026, con Prioridad 1, su máxima prioridad.
La vulnerabilidad fue descubierta por el investigador de seguridad Haifei Li a través de EXPMON, una plataforma pública basada en un entorno aislado (sandbox) diseñada para detectar exploits avanzados basados en archivos. Un PDF sospechoso enviado a la plataforma el 26 de marzo fue detectado por su motor de detección automática a pesar de tener bajas tasas de detección antivirus en VirusTotal (13 de 64 motores).
Cómo funciona la contaminación de prototipos en Acrobat
La contaminación de prototipos es una clase de vulnerabilidad de JavaScript donde un atacante puede agregar o modificar propiedades en el objeto base `Object.prototype`. Dado que casi todos los objetos JavaScript heredan de este prototipo, las propiedades inyectadas se propagan por toda la aplicación. Cuando un código legítimo accede posteriormente a una propiedad que no existe en un objeto específico, la búsqueda en la cadena de prototipos de JavaScript accede al valor controlado por el atacante.
En el contexto de Adobe Acrobat Reader, la vulnerabilidad funciona insertando código JavaScript malicioso dentro de un PDF manipulado. Cuando la víctima abre el archivo, la vulnerabilidad de contaminación de prototipos permite al atacante manipular las estructuras internas de los objetos dentro del motor JavaScript de Acrobat. Esto puede escalar hasta permitir la llamada a API privilegiadas de Acrobat que normalmente están restringidas.
Según el análisis de EXPMON, la vulnerabilidad observada utilizó la API util.readFileIntoStream() para leer archivos arbitrarios del sistema local a los que el proceso de Reader (ejecutándose en un entorno aislado) podía acceder. Los PDF maliciosos estaban diseñados para identificar el sistema objetivo y extraer información para el atacante, lo que sugiere que se trataba de una campaña de reconocimiento dirigida, en lugar de una operación indiscriminada.
Cinco meses de explotación antes de su detección. La vulnerabilidad ha estado activa desde al menos noviembre de 2025, pero no se identificó hasta el 26 de marzo de 2026, cuando se envió una muestra a EXPMON. El largo tiempo de permanencia evidencia la brecha entre la detección antivirus tradicional y el análisis de vulnerabilidades basado en entornos aislados (sandbox). En el momento del descubrimiento, solo 13 de los 64 motores de VirusTotal detectaron el PDF malicioso.
Versiones y parches afectados
La vulnerabilidad afecta a varias líneas de productos de Acrobat y Reader, tanto para Windows como para macOS. Adobe ha publicado versiones parcheadas bajo el boletín APSB26-43:
- Acrobat DC / Acrobat Reader DC (Windows/Mac) 26.001.21411
- Acrobat 2024 (Windows) 24.001.30362
- Acrobat 2024 (macOS) 24.001.30360
Se ha confirmado la vulnerabilidad en las versiones 26.001.21367 y 24.001.30356, así como en versiones anteriores.
Qué hacer
Se debe actualizar Acrobat Reader inmediatamente.
- Desactivar JavaScript en los PDF siempre que sea posible. Acrobat Reader permite a los administradores desactivar la ejecución de JavaScript en los PDF mediante preferencias o directivas de grupo. Esto elimina la principal superficie de ataque para este tipo de vulnerabilidad.
- Bloquear el indicador conocido. Los equipos de seguridad deben supervisar y bloquear todo el tráfico HTTP/HTTPS que contenga "Adobe Synchronizer" en el campo Agente de usuario, que se asoció con la actividad de explotación observada.
- Buscar antecedentes de compromisos. Dado que la ventana de explotación se remonta a noviembre de 2025, las organizaciones deben revisar la telemetría de los puntos finales en busca de actividad sospechosa relacionada con PDF durante los últimos cinco meses, en particular llamadas inesperadas a util.readFileIntoStream() o conexiones salientes inusuales desde procesos de Acrobat.
Panorama general
Tradicionalmente, la contaminación de prototipos se ha considerado una vulnerabilidad de aplicaciones web, explotada con mayor frecuencia en Node.js y en contextos de JavaScript de navegador. Su aparición en un lector de PDF de escritorio demuestra que este tipo de ataque se extiende a cualquier aplicación con un motor JavaScript suficientemente complejo.
El entorno de ejecución JavaScript integrado de Acrobat Reader, utilizado para formularios, anotaciones y automatización de documentos, ofrece una superficie de ataque suficiente para que los atacantes encadenen la contaminación de prototipos con la ejecución completa del código.
El lapso de cinco meses entre el inicio de la explotación y su descubrimiento es un claro recordatorio de las limitaciones de la detección basada en firmas. Los PDF maliciosos eludieron la mayoría de los motores antivirus y solo fueron detectados por una plataforma de análisis de vulnerabilidades (sandbox) diseñada específicamente para este fin. Las organizaciones que dependen exclusivamente de la protección tradicional de endpoints podrían haber estado expuestas durante todo este período sin saberlo.
Adobe Acrobat Reader sigue siendo una de las aplicaciones de escritorio más utilizadas en el mundo, instalada en cientos de millones de sistemas en entornos empresariales y domésticos. Cualquier vulnerabilidad de ejecución de código que pueda activarse simplemente abriendo un PDF lo convierte en un objetivo de alto valor tanto para actores estatales que llevan a cabo campañas de espionaje como para atacantes con fines lucrativos que distribuyen malware mediante phishing.
Fuente: DarkWebInformer
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!