Der entdeckte Exploit beschränkt sich nicht auf das Auslesen lokaler Informationen. Laut Li ermöglicht er es Angreifern, anschließend weitere Attacken in Form von Remote-Code-Ausführung (RCE) oder Sandbox-Ausbrüchen (SBX) zu starten, was zur vollständigen Kontrolle über das System des Opfers führen könne. Bestätigt sei, dass die Schwachstelle als Zero-Day auf der jeweils neuesten Adobe-Reader-Version greife, ohne dass das Opfer mehr tun müsse, als das Dokument zu öffnen.
Haifei Li hat in der Vergangenheit eine lange Reihe von Schwachstellen in Software von Microsoft, Google und Adobe offengelegt, von denen viele in Zero-Day-Angriffen ausgenutzt wurden.
Der Bedrohungsanalyst Gi7w0rm, der den Exploit ebenfalls untersuchte, stellte fest, dass die in den Angriffen verbreiteten PDF-Dokumente russischsprachige Köder enthalten. Diese beziehen sich auf aktuelle Ereignisse in der russischen Öl- und Gasindustrie.
Li hat Adobe über seine Erkenntnisse informiert. Bis das Unternehmen Sicherheitsupdates für die aktiv ausgenutzte Lücke veröffentlicht, rät er Anwendern von Adobe Reader, keine PDF-Dokumente von nicht vertrauenswürdigen Kontakten zu öffnen.
Verteidiger in Netzwerken können Angriffe zudem eindämmen, indem sie HTTP- und HTTPS-Verkehr überwachen und blockieren, der die Zeichenfolge „Adobe Synchronizer" im User-Agent-Header enthält.
Die Entscheidung, die Erkenntnisse sofort zu veröffentlichen, begründete Li mit der Tragweite: Die ungepatchte Möglichkeit zur breiten Datensammlung und das Potenzial für nachgelagerte RCE- beziehungsweise SBX-Angriffe rechtfertigten erhöhte Wachsamkeit der Sicherheitsgemeinschaft, damit Nutzer auf der Hut bleiben könnten.
BleepingComputer wandte sich mit Fragen zu Lis Erkenntnissen an Adobe, erhielt jedoch zunächst keine Antwort.
