Sıfır-GünAdobe ReaderPDF SilahEXPMON

Adobe Reader Sıfır-Günü Aralık 2025'ten Beri Aktif: Kötü Amaçlı PDF ile Yerel Dosya Hırsızlığı ve Sistem Kontrolü

📅 9 Nisan 2026  ·  📰 EXPMON / Cybernews / THN  ·  TLP:WHITE

PDF
SİLAH
EXPMON güvenlik araştırmacısı Haifei Li, Adobe Reader'da önceden bilinmeyen bir sıfır-günü ifşa etti: kötü amaçlı PDF açıldığında yerel dosya hırsızlığı ve potansiyel tam sistem kontrolü mümkün. "Yüksek sofistike" olarak nitelendirilen bu exploit, herhangi bir ek etkileşim gerektirmiyor.

İlk iz: VirusTotal'da 28 Kasım 2025'te görünen "Invoice540.pdf" adlı dosya. Bu, açığın yamalanmadan önce 4+ aylık aktif kullanımda olduğu anlamına geliyor. CVE-2026-34621 (acil yama gerektiren) ile farklı bir açık olup aynı hafta iki ayrı Adobe Reader sıfır-günü kamuoyuna açıklandı.

Finans sektörü için doğrudan tehdit: fatura, sözleşme ve hesap özeti temalı PDF'ler kurumsal e-posta akışında son derece yaygın. Hedefli spear-phishing kampanyalarında bu PDF lure'lar güvenilir kaynaklardan geliyormuş gibi hazırlanabiliyor.
▸ ÖNERİLEN AKSİYONLAR
Adobe Reader'ı güncel tutun ve Protected View ayarını etkinleştirin
Bilinmeyen kaynaklardan gelen PDF'leri sandbox'ta açın
E-posta güvenliği: PDF ekleri için sandboxing katmanı ekleyin
EXPMON IoC'lerini (Invoice540.pdf hash'leri) SIEM'e ekleyin
'Invoice', 'contract', 'statement' gibi anahtar kelime içeren PDF'lere otomatik karantina kuralı uygulayın