Adobe vá lỗ hổng nghiêm trọng trong Acrobat và Reader sau nhiều tháng bị tin tặc khai thác

Adobe đã tung ra bản vá lỗi nhằm khắc phục một lỗ hổng zero-day trong phần mềm Acrobat và Reader đã bị tin tặc tích cực khai thác trong nhiều tháng qua.

Bản cập nhật được phát hành vào ngày 11/4 nhằm giải quyết vấn đề được mã hóa là CVE-2026-34621. Đây là một lỗ hổng nghiêm trọng ảnh hưởng đến Acrobat và Reader trên cả hệ điều hành Windows và macOS, có thể dẫn đến việc thực thi mã tùy ý (arbitrary code execution). Nói một cách dễ hiểu hơn, người dùng chỉ cần mở một file PDF đã bị cài cắm mã độc là có thể vô tình "dâng" quyền kiểm soát máy tính cho kẻ tấn công.

Trong bản tư vấn bảo mật của mình, Adobe thừa nhận họ "biết về việc CVE-2026-34621 đang bị khai thác trong tự nhiên". Thông điệp ngắn gọn này là một nỗ lực nhằm làm sạch danh tiếng của công ty, bởi cho đến thời điểm này, Adobe chưa từng công khai thừa nhận sự tồn tại của lỗi này, chứ chưa nói đến việc xác nhận tin tặc đang sử dụng nó.

Bản vá lỗi này xuất hiện chỉ vài ngày sau khi các báo cáo từ bên ngoài đưa chiến dịch tấn công này vào tầm ngắm.

Cơ chế tấn công tinh vi

Các tài liệu độc hại được sử dụng trong chiến dịch này đã tận dụng mã JavaScript bị che giấu kỹ lưỡng (heavily obfuscated), chạy thông qua các API hợp pháp của Acrobat để thu thập thông tin hệ thống từ máy chủ. Dựa trên những gì tìm thấy, mã độc sẽ quyết định xem có nên leo thang tấn công hay không, bao gồm việc tải xuống payload giai đoạn hai có khả năng thực thi mã từ xa hoặc phá vỡ cơ chế sandbox bảo vệ của Reader.

Một số mục tiêu chỉ bị thu thập thông tin định danh (fingerprinting), trong khi những người khác bị chuẩn bị cho việc xâm nhập sâu hơn. Quy trình phân loại này cho thấy đây là một chiến dịch có mục tiêu cụ thể thay vì là các cuộc tấn công rải thâm (spam) ngẫu nhiên. Điều này phù hợp với các mồi nhử mà các nhà nghiên cứu đã quan sát thấy. Một số tài liệu được viết bằng tiếng Nga và đề cập đến các chủ đề liên quan đến ngành dầu khí, gợi ý về một nhóm nạn nhân được nhắm mục tiêu cụ thể, dù chưa thể chỉ đích danh kẻ đứng sau.

Nguy cơ dai dẳng

Theo các nhà nghiên cứu, bằng chứng cho thấy hoạt động độc hại này đã kéo dài từ ít nhất là cuối năm 2025, tạo điều kiện cho tin tặc hoạt động thoải mái trong nhiều tháng. Trong suốt thời gian đó, kỹ thuật khai thác lỗi này đã hòa trộn vào các hành vi bình thường của Reader, qua mặt các hệ thống phòng thủ truyền thống thường được thiết kế để phát hiện các chữ ký đã biết hoặc hành vi bất thường rõ ràng.

Bản vá lỗi hiện đã đóng lại "cánh cửa" này, nhưng nó không thể quay ngược thời gian. Bất kỳ ai đã mở một file PDF độc hại trong khoảng thời gian đó có thể đã bị theo dõi hồ sơ hoặc tệ hơn, tùy thuộc vào mức độ thú vị của họ đối với kẻ tấn công. Adobe chưa cho biết có bao nhiêu người dùng có thể bị ảnh hưởng, lỗi này được phát hiện ra như thế nào nội bộ, hay tại sao việc thừa nhận lại chậm trễ so với các báo cáo công khai. Công ty vẫn chưa phản hồi các câu hỏi từ báo chí.

Có thể Adobe đã đóng cửa, nhưng không phải trước khi đã có quá nhiều người đi qua nó.