-
09/04/2020
-
128
-
1.792 bài viết
Zero-day trong Adobe Reader: Mở file PDF cũng có thể bị chiếm quyền hệ thống
Lỗ hổng zero-day đặc biệt nguy hiểm trong Adobe Reader đang khiến cộng đồng an ninh mạng toàn cầu đặt trong trạng thái cảnh giác cao độ. Không cần thao tác phức tạp, chỉ với việc mở một file PDF được thiết kế tinh vi, người dùng có thể vô tình kích hoạt chuỗi tấn công dẫn đến đánh cắp dữ liệu và thậm chí là chiếm quyền điều khiển hệ thống. Điều đáng lo ngại là lỗ hổng này vẫn hoạt động trên phiên bản Adobe Reader mới nhất và chưa có bản vá chính thức.
Ảnh: Internet
Lỗ hổng lần này nằm trong cơ chế xử lý JavaScript của Adobe Reader (một thành phần cho phép file PDF chạy các đoạn mã động nhằm phục vụ tương tác). Tuy nhiên, các nhà nghiên cứu từ nền tảng phân tích khai thác EXPMON, đứng đầu là Haifei Li, đã phát hiện rằng cơ chế này tồn tại một lỗi logic nghiêm trọng.
Cụ thể, lỗ hổng cho phép mã JavaScript độc hại bên trong file PDF vượt qua sandbox và gọi đến các API có đặc quyền cao của Adobe Acrobat. Điều này phá vỡ mô hình bảo mật vốn được thiết kế để ngăn chặn các hành vi truy cập trái phép.
Mẫu tấn công đầu tiên được ghi nhận từ cuối tháng 11/2025 trên VirusTotal với tên “Invoice540.pdf”, sau đó tiếp tục xuất hiện các biến thể khác vào tháng 3/2026. Một số tài liệu còn sử dụng nội dung liên quan đến ngành dầu khí Nga nhằm tăng độ tin cậy, cho thấy yếu tố lừa đảo) được kết hợp chặt chẽ.
Hiện tại, lỗ hổng này chưa được gán mã CVE chính thức và cũng chưa có điểm CVSS, nhưng giới chuyên gia đánh giá mức độ nghiêm trọng ở ngưỡng cao nhất do khả năng khai thác không cần tương tác sâu từ người dùng.
Cụ thể, lỗ hổng cho phép mã JavaScript độc hại bên trong file PDF vượt qua sandbox và gọi đến các API có đặc quyền cao của Adobe Acrobat. Điều này phá vỡ mô hình bảo mật vốn được thiết kế để ngăn chặn các hành vi truy cập trái phép.
Mẫu tấn công đầu tiên được ghi nhận từ cuối tháng 11/2025 trên VirusTotal với tên “Invoice540.pdf”, sau đó tiếp tục xuất hiện các biến thể khác vào tháng 3/2026. Một số tài liệu còn sử dụng nội dung liên quan đến ngành dầu khí Nga nhằm tăng độ tin cậy, cho thấy yếu tố lừa đảo) được kết hợp chặt chẽ.
Hiện tại, lỗ hổng này chưa được gán mã CVE chính thức và cũng chưa có điểm CVSS, nhưng giới chuyên gia đánh giá mức độ nghiêm trọng ở ngưỡng cao nhất do khả năng khai thác không cần tương tác sâu từ người dùng.
Cơ chế khai thác: Từ file PDF đến kiểm soát hệ thống
Quá trình tấn công bắt đầu ngay khi người dùng mở file PDF độc hại bằng Adobe Reader. Không cần click thêm bất kỳ nội dung nào, đoạn JavaScript được làm rối sẵn trong file sẽ tự động được giải mã và thực thi. Đầu tiên, mã độc tiến hành thu thập thông tin hệ thống để “nhận diện” nạn nhân, bao gồm:
- Phiên bản Adobe Reader
- Ngôn ngữ hệ thống
- Phiên bản hệ điều hành
- Đường dẫn file cục bộ
Sau đó, lỗ hổng cho phép mã độc gọi đến API "util.readFileIntoStream" (một API đặc quyền) để đọc các file trên hệ thống, bao gồm cả thư mục nhạy cảm như System32 trên Windows.
Dữ liệu thu thập được sẽ được gửi về máy chủ điều khiển (C2) tại địa chỉ 169.40.2.68:45191 thông qua một API khác là RSS.addFeed, vốn không được thiết kế cho mục đích này. Đây là một kỹ thuật “lạm dụng API hợp pháp” để qua mặt các cơ chế phát hiện.
Đáng chú ý, máy chủ này có thể gửi ngược lại các payload JavaScript mới, được mã hóa để tránh bị phát hiện bởi hệ thống giám sát mạng. Khi được giải mã ở phía client, các payload này có thể tiếp tục mở rộng tấn công, bao gồm:
Dữ liệu thu thập được sẽ được gửi về máy chủ điều khiển (C2) tại địa chỉ 169.40.2.68:45191 thông qua một API khác là RSS.addFeed, vốn không được thiết kế cho mục đích này. Đây là một kỹ thuật “lạm dụng API hợp pháp” để qua mặt các cơ chế phát hiện.
Đáng chú ý, máy chủ này có thể gửi ngược lại các payload JavaScript mới, được mã hóa để tránh bị phát hiện bởi hệ thống giám sát mạng. Khi được giải mã ở phía client, các payload này có thể tiếp tục mở rộng tấn công, bao gồm:
- Thực thi mã từ xa
- Thoát khỏi sandbox
- Tải thêm malware
Tuy nhiên, trong nhiều trường hợp thử nghiệm, máy chủ không phản hồi payload tiếp theo. Điều này cho thấy kẻ tấn công có thể đang sử dụng cơ chế “chọn lọc nạn nhân” dựa trên fingerprinting (những mục tiêu giá trị cao mới nhận giai đoạn khai thác tiếp theo).
Nguyên nhân cốt lõi của lỗ hổng
Nguyên nhân chính nằm ở lỗi thiết kế trong engine JavaScript của Adobe Reader, không kiểm soát chặt chẽ việc phân quyền khi gọi các API nội bộ. Điều này dẫn đến việc mã không tin cậy (untrusted code) vẫn có thể thực thi các hành động đặc quyền trong môi trường sandbox.
Ngoài ra, việc Adobe Reader cho phép tích hợp sâu JavaScript trong file PDF đã vô tình mở rộng bề mặt tấn công cho tin tặc.
Ngoài ra, việc Adobe Reader cho phép tích hợp sâu JavaScript trong file PDF đã vô tình mở rộng bề mặt tấn công cho tin tặc.
Rủi ro và mức độ ảnh hưởng
Lỗ hổng này đặc biệt nguy hiểm ở nhiều khía cạnh:
- Không cần tương tác phức tạp: chỉ mở file là đủ bị tấn công
- Hoạt động trên phiên bản mới nhất: chưa có bản vá
- Khả năng vượt sandbox: phá vỡ lớp bảo vệ quan trọng
- Khả năng đánh cắp dữ liệu cục bộ: bao gồm file hệ thống
- Có thể dẫn đến chiếm quyền hệ thống hoàn toàn
Phạm vi ảnh hưởng rất rộng, bởi Adobe Reader là phần mềm phổ biến toàn cầu, đặc biệt trong môi trường doanh nghiệp, cơ quan nhà nước và người dùng văn phòng. Đối với Việt Nam, nguy cơ là hoàn toàn hiện hữu do thói quen mở file PDF từ email, Zalo, Facebook hoặc các nền tảng làm việc mà không kiểm tra kỹ nguồn gốc.
Những điểm mới đáng chú ý
So với các báo cáo trước đó, diễn biến mới nhất cho thấy:
- Lỗ hổng vẫn chưa được vá dù đã bị khai thác từ cuối 2025
- Các mẫu tấn công ngày càng tinh vi, tỷ lệ phát hiện bởi antivirus rất thấp
- Cơ chế fingerprinting đang được sử dụng để chọn lọc mục tiêu
- Kỹ thuật sử dụng API hợp pháp để exfiltrate dữ liệu ngày càng phổ biến
Điều này cho thấy chiến dịch không phải thử nghiệm đơn lẻ mà có dấu hiệu của một hoạt động tấn công có tổ chức.
Khuyến nghị từ chuyên gia an ninh mạng
Trong bối cảnh chưa có bản vá chính thức, các chuyên gia khuyến cáo người dùng và tổ chức cần chủ động phòng vệ:
- Không mở file PDF từ nguồn không rõ ràng, đặc biệt là email lạ
- Tắt JavaScript trong Adobe Reader nếu không thực sự cần thiết
- Sử dụng trình đọc PDF thay thế có sandbox mạnh hơn
- Theo dõi lưu lượng mạng bất thường, đặc biệt là kết nối đến IP lạ
- Chú ý các request có User-Agent “Adobe Synchronizer”
- Triển khai giải pháp sandbox để phân tích file trước khi mở
- Cập nhật ngay khi Adobe phát hành bản vá
Theo The Hacker News