Die Sicherheitsforscher bei Adobe und der unabhängige Sicherheitsexperte Haifei Li haben eine bemerkenswerte Entdeckung gemacht: Die Zero-Day-Schwachstelle CVE-2026-34621 wurde bereits seit mindestens dem 28. November 2025 von Angreifern missbraucht. Li, Gründer des Exploit-Erkennungssystems EXPMON, stieß auf die manipulierte PDF-Datei, als er am 26. März 2026 eine anonyme Hochladung auf VirusTotal analysierte. Seine Untersuchung offenbarte ein “hochentwickeltes PDF-Exploit” für einen damals ungepatchten Adobe Reader.
Besonders alarmierend: Die bösartige Datei war bereits seit dem 23. März auf VirusTotal verfügbar, wurde aber von 64 Sicherheitstools nur von fünf als verdächtig erkannt. Noch problematischer war die Entdeckung einer älteren Variante vom 28. November 2025, die zeigt, dass Angreifer über Monate hinweg aktiv waren – ohne dass dies jemand bemerkte.
Adobe vergab der Schwachstelle zunächst einen CVSS-Score von 9,6, stufte ihn später auf 8,6 herab. Die Ursache liegt in unsachgemäßer Eingabevalidierung und unsicherer Behandlung von Objektattributen. Das Tückische: Opfer müssen nicht einmal auf einen Link klicken oder Berechtigungen erteilen. Allein das Öffnen der präparierten PDF mit Adobe Reader löst den Exploit aus.
Die Malware arbeitet äußerst raffiniert. Nach dem Öffnen sammelt sie zunächst Systemdaten: Betriebssystem, Softwareversionen, Spracheinstellungen und Dateipfade. Diese Informationen sendet sie an Server der Angreifer, um zu bewerten, ob sich ein Opfer für weitere Attacken lohnt. Parallel kann die Malware auch Dateien direkt vom betroffenen Computer auslesen und exfiltrieren – sensible Dokumente und Systemdaten.
Li konnte bei seinen Tests zwar keinen aufgeprüften sekundären Exploit identifizieren, doch bewies die Funktionalität des Delivery-Mechanismus, dass Angreifer zusätzliche Remote-Code-Execution (RCE) oder Sandbox-Escape-Exploits nachladen könnten – mit potenzieller Vollkontrolle über das System.
Adobe bestätigte die aktive Ausnutzung am 11. April 2026 und veröffentlichte Patches. Malwarebytes rät Unternehmen zur sofortigen Aktualisierung. Wer das nicht sofort tun kann, sollte PDF-Dateien von unbekannten Quellen extrem vorsichtig behandeln und HTTP/HTTPS-Traffic auf die Zeichenkette “Adobe Synchronizer” im User-Agent-Feld überwachen.
PDF-Dateien bleiben ein bewährter Angriffsvektor – besonders in Deutschland, wo sie in geschäftlicher Kommunikation dominant sind. Unternehmen sollten ihre Adobe-Software dringend aktualisieren und allgemein eine robuste Patch-Management-Strategie verfolgen.