En PDF-fil som öppnas i Adobe Reader — det är allt som krävs. Ingen länk att klicka på, inget makro att aktivera. Bara att öppna filen. En zero-day sårbarhet som har utnyttjats aktivt sedan december 2025 gör det möjligt.

Vad har upptäckts?

Säkerhetsforskaren Haifei Li vid EXPMON har avslöjat en aktiv zero-day i Adobe Reader som fungerar mot även den senaste versionen av programmet. Attacken använder specialkonstruerade PDF-filer som kör skadlig kod så fort filen öppnas — utan att användaren behöver göra något utöver att visa dokumentet.

De första spåren av attacken dök upp på VirusTotal redan i november 2025, med ytterligare prover uppladdade i mars 2026. Det innebär att angripare har haft tillgång till denna sårbarhet i minst fyra månader.

Hur fungerar attacken?

Li beskriver det som en "highly sophisticated, fingerprinting-style PDF exploit". PDF-filen utnyttjar en opatchad sårbarhet som ger åtkomst till privilegierade Acrobat API:er — funktioner som normalt är skyddade och inte ska kunna anropas av ett vanligt PDF-dokument.

I det första steget samlar attacken in detaljerad information om offrets system — en teknik som kallas fingerprinting. Denna information skickas till angriparens server och kan användas för att avgöra om målet är värt att attackera vidare. Forskarna varnar för att sårbarheten potentiellt kan eskaleras till full Remote Code Execution (RCE).

Varför PDF-attacker är så effektiva

PDF-filer är det mest betrodda dokumentformatet i affärsvärlden. Fakturor, avtal, rapporter, offerter — allt skickas som PDF. De flesta anställda öppnar PDF-bilagor utan att tänka efter, särskilt om de kommer från en känd avsändare.

Till skillnad från Office-dokument, där de flesta har lärt sig att vara försiktiga med makron, uppfattas PDF-filer som säkra. Den uppfattningen är farlig när en zero-day gör det möjligt att köra kod bara genom att öppna filen.

Så skyddar du ditt företag

Överväg att byta till en alternativ PDF-läsare tills Adobe släpper en patch. Webbläsarbaserade PDF-visare (Chrome, Edge, Firefox) har en starkare sandbox och är mindre sårbara för denna typ av attack.

Blockera PDF-bilagor från okända avsändare i ert e-postfilter. Aktivera sandboxning i Adobe Reader om ni måste använda det (Protected Mode). Informera anställda om att PDF-filer kan vara farliga — precis som alla andra bilagor.

Behöver ni hjälp att granska er e-postsäkerhet och dokumenthantering? Kontakta BlckIT så hjälper vi er att minimera risken från skadliga bilagor.