CVE-2026-34621 è una vulnerabilità zero-day in Adobe Acrobat Reader sfruttata da novembre 2025. Scopri come funziona l’exploit e come aggiornare immediatamente.

Adobe Acrobat Reader è uno degli strumenti più diffusi al mondo. È installato su centinaia di milioni di dispositivi, usato quotidianamente per aprire fatture, contratti, documenti ufficiali. È esattamente questa massiccia diffusione e la fiducia implicita che lo ha reso un bersaglio facile. Questo perché un PDF non genera lo stesso sospetto di un eseguibile sconosciuto o di un allegato anomalo. E proprio questo ha portato alla scoperta di CVE-2026-34621, una vulnerabilità critica intrinseca al lettore.

  1. La scoperta di CVE-2026-34621
  2. Come funziona CVE-2026-34621
  3. Chi c’è dietro e cosa cercava
  4. Versioni interessate e come aggiornarsi
la vulnerabilità zero-day di Adobe Acrobat Reader sfruttata per quattro mesi tramite PDF malevoli

Parliamo di una vulnerabilità di tipo prototype pollution nel motore JavaScript integrato in Adobe Acrobat Reader, che consente l’esecuzione di codice arbitrario quando un utente apre un file PDF appositamente costruito. La vulnerabilità è stata sfruttata attivamente in campagne reali a partire da almeno novembre 2025. La patch è arrivata l’11 aprile 2026. In mezzo, quattro mesi di attacchi silenziosi, rilevati quasi per caso da un sistema di analisi indipendente.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

La scoperta di CVE-2026-34621

Il 26 marzo 2026, qualcuno sottopone un PDF al sistema EXPMON, una piattaforma pubblica di rilevamento avanzato di exploit su file, fondata dal ricercatore di sicurezza Haifei Li. Il file ha un nome che non lascia spazio all’interpretazione: “yummy_adobe_exploit_uwu.pdf”. Nonostante il nome, solo 13 antivirus su 64 lo rilevano su VirusTotal. Il sistema di EXPMON lo flagga lo stesso, grazie a una delle sue funzionalità di rilevamento in profondità, mettendolo in coda per la revisione manuale.

Analizzando quel campione e un secondo file correlato, Li scopre che i PDF, una volta aperti, eseguono codice JavaScript pesantemente offuscato per effettuare un fingerprinting del sistema della vittima. I dati analizzati comprendono:

  • versione del software;
  • lingua;
  • sistema operativo in uso.

Queste informazioni sono poi inviate a un server C2 (Command & Control) controllato dagli attaccanti. Incrociando i dati, si scopre che un campione simile era già stato sottoposto a VirusTotal il 28 novembre 2025, segnando di fatto l’inizio documentato della campagna. L’11 aprile 2026 Adobe pubblica il bollettino di emergenza APSB26-43 e il 13 aprile 2026 la CISA aggiunge CVE-2026-34621 al proprio catalogo KEV.

Come funziona CVE-2026-34621

Come detto in fase di introduzione, CVE-2026-34621 è classificata come prototype pollution (CWE-1321), una classe di vulnerabilità che colpisce i motori JavaScript. Nel nostro caso è presente nel runtime JS integrato in Adobe Reader. Il linguaggio prevede che gli oggetti ereditino proprietà da un prototipo condiviso, tipicamente Object.prototype. Quando un’applicazione non valida correttamente l’input, un attaccante può iniettare proprietà arbitrarie in questo prototipo. In tal modo, tutti gli oggetti che ne ereditano le proprietà, vengono alterati silenziosamente, modificando il flusso di controllo dell’applicazione e aprire l’accesso a funzioni normalmente inaccessibili.

In Adobe Reader il meccanismo permette al JavaScript offuscato contenuto nel PDF malevolo di chiamare API interne privilegiate che non dovrebbero essere accessibili da un documento. Le due API documentate da Haifei Li sono:

  • util.readFileIntoStream(), che consente di leggere file arbitrari presenti sul sistema locale della vittima;
  • RSS.addFeed(), usata per stabilire la comunicazione con il server C2.

Le comunicazioni non avvengono tramite il processo principale di Acrobat, ma tramite AdobeCollabSync.exe, un processo legittimo del software che gli attaccanti hanno scelto come canale per il traffico verso il C2. L’identificativo univoco di questo traffico è la stringa “Adobe Synchronizer” nel campo User Agent delle richieste HTTP/HTTPS, che rappresenta un indicatore di compromissione su cui i team di sicurezza possono fare hunting.

Infografica della catena di attacco CVE-2026-34621 in Adobe Acrobat Reader che mostra come un PDF malevolo sfrutta una vulnerabilità prototype pollution per accedere alle API e comunicare con il server C2

Ma la catena di attacco non si limita al solo fingerprinting. Una volta raccolte le informazioni sul sistema, il malware è progettato per ricevere ed eseguire payload aggiuntivi dal server C2. Tra questi vi sono anche exploit per l’esecuzione di codice remoto e per la fuga dalla sandbox del browser (RCE/SBX). Va specificato che questi richiedono espressamente l’interazione dell’utente. In questo caso, basta un’e-mail di phishing ben costruita e il vettore diventa estremamente efficace.

Chi c’è dietro e cosa cercava

Nessuna attribuzione pubblica definitiva è stata formulata al momento della pubblicazione di questo articolo. Tuttavia, gli elementi disponibili delineano un profilo operativo preciso. I PDF malevoli analizzati da Li e dal ricercatore Giuseppe Massaro contenevano testo in russo relativo al settore del gas e alle procedure di emergenza legate alle forniture energetiche.

Il profilo operativo dietro la campagna è quello di un’operazione APT, piuttosto che di un gruppo criminale. Questo perché si è sfruttata per mesi una vulnerabilità zero-day senza disclosure e con l’infrastruttura C2 camuffata dietro processi legittimi. Gli attori non puntavano alla monetizzazione rapida, ma a mantenere un accesso persistente nei sistemi delle vittime e condurre operazioni di intelligence.

Il focus apparente sul settore energetico russo e le procedure di emergenza, suggeriscono un’operazione di spionaggio industriale o geopolitico. Tuttavia, in assenza di attribuzione verificata, resta solo una supposizione.

Versioni interessate e come aggiornarsi

CVE-2026-34621 riguarda le seguenti versioni di Adobe Acrobat e Acrobat Reader su Windows e macOS. In particolare:

  • Acrobat DC e Acrobat Reader DC versioni 26.001.21367 e precedenti;
  • Acrobat 2024 versioni 24.001.30356 e precedenti;

Adobe ha classificato questo aggiornamento con Priority 1, il livello di urgenza massimo, raccomandando l’installazione della versione 26.001.21411 entro 72 ore. Per aggiornare manualmente, è sufficiente aprire Adobe Reader e seguire il percorso Help > Check for Updates. In ambienti aziendali con deployment gestito, l’aggiornamento può essere distribuito tramite AIP-GPO, SCUP/SCCM su Windows o Apple Remote Desktop e SSH su macOS.

Per chi non riesce ad aggiornare immediatamente, Li raccomanda due contromisure temporanee:

  • Istruire gli utenti a non aprire PDF provenienti da fonti non verificate;
  • Bloccare a livello di rete tutto il traffico HTTP/HTTPS che contiene la stringa “Adobe Synchronizer” nel campo User Agent.

Quest’ultima interrompe la comunicazione tra il malware e il server C2, neutralizzando la fase di fingerprinting anche in caso di apertura accidentale di un file compromesso.

In conclusione

CVE-2026-34621 non è una vulnerabilità eccezionale per complessità tecnica, ma una già ampiamente nota e studiata. Ciò che la fa emergere tra le altre è la durata dello sfruttamento silenzioso: quattro mesi senza patch. Il tasso di rilevamento bassissimo e lo sfruttamento di un PDF, l’hanno resa in breve una falla critica che non può essere sottovalutata in alcun modo. Senza EXPMON, la campagna avrebbe probabilmente continuato a operare indisturbata.

L’intera vicenda è un promemoria diretto su quanto possano essere efficaci gli attacchi che scelgono la discrezione invece dell’impatto immediato. Ecco perché si torna a sottolineare quanto sia importante disporre di strumenti di analisi comportamentale capaci di rilevare ciò che le firme tradizionali non vedono.


    Dichiaro di aver letto e compreso l'Informativa sul trattamento dei dati