SchwachstellenHackerangriffeMalware

Adobe Reader Zero-Day seit Monaten aktiv ausgenutzt – Forscher warnt

Adobe Reader Zero-Day seit Monaten aktiv ausgenutzt – Forscher warnt
Zusammenfassung

Eine bislang unbekannte Sicherheitslücke in Adobe Reader wird Berichten zufolge bereits seit mindestens vier Monaten aktiv ausgenutzt. Der renommierte Sicherheitsforscher Haifei Li hat ein manipuliertes PDF-Dokument entdeckt, das eine Zero-Day-Anfälligkeit im neuesten Adobe Reader ausnutzt. Die Schwachstelle ermöglicht es Angreifern, Nutzerdaten zu sammeln und zu stehlen, potenziell gefolgt von Remote-Code-Execution und Sandbox-Escape-Attacken. Besonders bemerkenswert ist, dass die bösartigen PDFs russischsprachige Köder und Verweise auf aktuelle Ereignisse im russischen Öl- und Gassektor enthalten, was auf eine gezielt koordinierte Kampagne hindeutet. Für deutsche Nutzer und Unternehmen ist dies eine ernsthafte Bedrohung, da Adobe Reader weit verbreitet ist und viele geschäftskritische Dokumente im PDF-Format verarbeitet werden. Besonders Unternehmen in sensiblen Sektoren könnten als Angriffsziele in Frage kommen. Da Adobe erst kurz vor der Veröffentlichung über die Lücke informiert wurde und ein Patch noch aussteht, empfehlen Sicherheitsexperten erhöhte Vorsicht beim Öffnen von PDF-Dateien aus unbekannten Quellen. Die Bundesamt für Sicherheit in der Informationstechnik dürfte diese Entwicklung aufmerksam beobachten.

Die Cybersicherheitscommunity steht vor einer neuen kritischen Bedrohung: Der angesehene Forscher Haifei Li hat eine Zero-Day-Lücke in Adobe Reader dokumentiert, die mindestens vier Monate lang aktiv ausgenutzt wurde. Li, der in seiner 20-jährigen Karriere für führende IT-Sicherheitsunternehmen wie Microsoft, Fortinet und Check Point tätig war, versucht derzeit, die Community um Unterstützung bei der Analyse des Exploits zu bitten.

Die Sicherheitslücke wurde durch Lis eigenes Sicherheitstool Expmon – eine Sandbox-basierte Plattform zur Erkennung von File-basierten Zero-Days – identifiziert. Die Analyse zeigt ein dreistufiges Angriffsszenario: Initial sammelt die manipulierte PDF-Datei vertrauliche Informationen wie Benutzerdaten vom betroffenen System. Daraufhin können zusätzliche Payloads für Remote Code Execution und Sandbox-Escape nachgeladen werden – eine klassische Eskalationsstrategie professioneller Cyberkrimineller oder staatlicher Akteure.

Besonders beunruhigend ist der Zeitrahmen der Ausnutzung. Ein auf VirusTotal eingereichte Exploit-Sample stammt aus November 2025, was belegt, dass die Schwachstelle bereits mindestens vier Monate lang in der Wildnis zirkuliert. Adobe erhielt die Informationen erst am 7. April – bedeutet: Der Konzern hatte keine Möglichkeit, rechtzeitig einen Patch bereitzustellen.

Bei der Analyse der malware-PDF-Dateien fiel Sicherheitsexperten das auffällige Muster auf: Die Köder sind in russischer Sprache verfasst und nutzen aktuelle Bezüge zum russischen Öl- und Gassektor als Social-Engineering-Köder. Dies deutet auf gezielte Kampagnen hin, möglicherweise auch mit Relevanz für europäische und deutsche Unternehmen in kritischen Infrastrukturen oder dem Energiesektor.

Li konnte die vollständige Angriffskette bislang nicht reproduzieren und damit die finalen Payloads nicht sicherstellen. Dies erschwert sowohl die vollständige Analyse der Schwachstelle als auch die Entwicklung von Gegenmaßnahmen erheblich.

Adobe hat Li in der Vergangenheit für die Meldung mehrerer kritischer Reader- und Acrobat-Vulnerabilities mit Code-Execution-Folgen gewürdigt – ein Vertrauensverhältnis, das nun erneut auf die Probe gestellt wird. Allerdings lässt sich die Behebung von Zero-Days nicht einfach beschleunigen: Die genaue Analyse der Schwachstelle, die Entwicklung eines Fixes und die umfassende Qualitätskontrolle erfordern Zeit. Der Druck auf Adobe ist jedoch enorm – Millionen Nutzer weltweit sind potenzielle Ziele.

Ähnliche Artikel