Adobe Reader’da 4 Aylık Gizli Tehlike: Zero-Day Alarmı!
Adobe Reader’da Zero-Day: Aralık 2025’den Bu Yana Aktif!
Editörden: Siber güvenlik dünyası, Aralık ayından bu yana sessizce istismar edilen kritik bir Adobe Reader “sıfırıncı gün” (zero-day) zafiyeti ile alarm durumunda. Henüz resmi bir yaması bulunmayan bu tehdide karşı kurumsal savunma hattınızı güçlendirmeniz kritik önem taşıyor.
Özellikle sistem yöneticilerinin, yama yayınlanana kadar Group Policy (GPO) üzerinden Adobe Acrobat JavaScript’i merkezi olarak devre dışı bırakmalarını şiddetle öneriyoruz. Bu kritik açığa dair tüm teknik detayları ve uygulama adımlarını haberimizin devamında bulabilirsiniz.
Adobe Reader’da Kritik Zero-Day: Aralık’tan Bu Yana Aktif Olarak Kullanılıyor!
Siber güvenlik dünyası, en yaygın PDF okuyucularından biri olan Adobe Reader’da keşfedilen ve henüz yaması yayınlanmamış “sıfırıncı gün” (zero-day) zafiyeti ile çalkalanıyor. EXPMON araştırmacıları tarafından ortaya çıkarılan bulgular, saldırganların bu açığı Aralık 2025’ten beri gelişmiş saldırılarda aktif olarak kullandığını gösteriyor.
Saldırı Vektörü ve Teknik Analiz
Keşfedilen saldırı zinciri, sosyal mühendislik yöntemleriyle kurbanlara iletilen ve genellikle “Invoice540.pdf” gibi fatura isimleri taşıyan zararlı PDF dokümanlarıyla başlıyor. Teknik analizler, saldırının Adobe Reader’ın en güncel sürümlerinde bile (v26.00121367 dahil) başarıyla çalıştığını kanıtladı.
Saldırının öne çıkan teknik detayları şunlardır:
- Ayrıcalıklı API İstismarı: Zararlı dosya, normal şartlarda sandbox (kum havuzu) kısıtlamaları altında erişilememesi gereken
util.readFileIntoStream()veRSS.addFeed()gibi ayrıcalıklı Acrobat JavaScript API’lerini kötüye kullanıyor. - Dosya Sızdırma:
util.readFileIntoStream()API’si kullanılarak sistemdeki hassas dosyalara erişilirken,RSS.addFeed()üzerinden bu veriler saldırganın komuta kontrol (C2) sunucusuna sızdırılıyor. - Gelişmiş Obfuskasyon: Zararlı kodlar, Base64 ve çok katmanlı karartma teknikleriyle gizlenerek geleneksel imza tabanlı güvenlik çözümlerini (AV/EDR) bypass ediyor.
- Sistem Parmak İzi: Exploit, çalıştırıldığı anda OS versiyonu, dil ayarları ve dosya yolları gibi kritik bilgileri toplayarak daha ileri aşama saldırılar (RCE veya Sandbox Escape) için zemin hazırlıyor.
Rusya-Ukrayna Bağlantılı Lure Dokümanları
Güvenlik araştırmacısı Gi7w0rm ve EXPMON’un raporlarına göre, kullanılan zararlı PDF’lerin bir kısmının Rusça içeriklere sahip olduğu ve enerji sektörüyle (petrol ve gaz) ilgili temalar içerdiği gözlemlendi. Bu durum, saldırının devlet destekli aktörler tarafından gerçekleştirilen hedef odaklı bir casusluk operasyonu olabileceği şüphesini güçlendiriyor.
Mevcut Durum ve Savunma Önerileri
Adobe tarafına zafiyet bilgisi Nisan 2026 başında iletilmiş olup, henüz resmi bir yama yayınlanmamıştır. Bilişim profesyonellerinin alması gereken acil önlemler şunlardır:
- Acrobat JavaScript’i Devre Dışı Bırakın: Kurumsal ortamlarda, Adobe Reader üzerinden JavaScript yürütme yetkisini GPO veya kayıt defteri üzerinden kısıtlayın.
- Sandbox Kontrolü: “Protected Mode” ve “Enhanced Security” özelliklerinin aktif olduğunu teyit edin, ancak bu açığın sandbox sınırlarını zorlayabildiğini unutmayın.
- Dosya Denetimi: E-posta geçitlerinde (Email Gateway) bilinmeyen kaynaklardan gelen PDF eklerini sandbox analizine tabi tutun.
- Alternatif Okuyucular: Yama yayınlanana kadar kritik iş süreçlerinde geçici olarak alternatif PDF görüntüleyicilerin (Chrome/Edge dahili okuyucuları gibi) kullanımı değerlendirilebilir.
Yamadan Kaçış Yok: Adobe’nin bir sonraki “Patch Tuesday” dönemini beklemeden acil bir güncelleme yayınlaması bekleniyor. Sistem yöneticilerinin Adobe güvenlik bültenlerini yakından takip etmesi kritik önem taşıyor.
Kurumsal Ağlar İçin Önemli Not:
Eğer bu adımı GPO üzerinden nasıl yapacağınızı hatırlatmak isterseniz, ilgili kayıt defteri yolu şudur: HKCU\Software\Adobe\Acrobat Reader\DC\JSPermissions\bEnableJS = 0
Haber kaynağı: https://thehackernews.com/2026/04/adobe-reader-zero-day-exploited-via.html
