Adobe Acrobat Reader CVE-2026-34621: Patch

TL;DR

• Cosa imparerai: Come verificare se i tuoi PC sono vulnerabili a CVE-2026-34621, come applicare la patch Adobe, e come proteggere l'email aziendale da PDF malevoli.
• Tempo richiesto: 15-30 minuti per singolo PC, meno con strumenti di deployment.
• Difficoltà: Facile. Servono diritti admin e un inventario software aggiornato.

---

IL PROBLEMA

Se stai leggendo questo, probabilmente hai visto l'alert del tuo SIEM o il ticket del helpdesk che segnala: "Adobe Acrobat Reader ha una falla critica non patchata."

Il problema è semplice e spaventoso: CVE-2026-34621 è una vulnerabilità in Acrobat Reader che permette a un attacker di eseguire codice arbitrario sul tuo PC semplicemente aprendo un PDF appositamente creato. Non serve che tu clicchi su nulla. Apri il file e boom, hanno il tuo sistema.

Il bello? È già stata sfruttata in the wild. Non è una falla teorica. Qualcuno là fuori sta già mandando PDF malevoli a casaccio, o peggio, a目标的 mirati.

I sintomi classici:

• Adobe Acrobat Reader chiede aggiornamenti insistenti
• Il processo AcroRd32.exe consuma CPU al 100% dopo aver aperto un PDF
• File PDF ricevuti da mittenti sconosciuti o con nomi strani (invoice_FINAL_v2.pdf, urgent_document.pdf)
• Segnalazioni degli utenti: "Non riesco ad aprire questo PDF", "Il computer fa strani rumori"

La domanda è: quanti PC nella tua rete hanno ancora la vecchia versione? Spoiler: probabilmente più di quanti pensi.

---

PREREQUISITI

Prima di iniziare, assicurati di avere:

• Accesso admin sui PC da controllare (domain admin o local admin)
• Inventario software aggiornato (SCCM, Intune, GLPI, o anche un semplice script PowerShell)
• Accesso al pannello Adobe Admin Console se usi le versioni enterprise
• Privilegi per distribuire aggiornamenti via GPO, Intune, o qualsiasi strumento usi

Se non hai un inventario, pazienza. Ti do uno script più avanti che risolve il problema.

---

Step 1: Identifica le versioni vulnerabili

Apri PowerShell su un PC e verifica la versione di Acrobat Reader installata:

# Trova tutte le versioni di Adobe Acrobat Reader
Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*" | 
  Where-Object { $_.DisplayName -like "*Adobe*Acrobat*Reader*" } | 
  Select-Object DisplayName, DisplayVersion, InstallDate

Se hai più PC, puoi usare un inventory server o lanciarlo in parallelo:

# Esegui su più PC via Invoke-Command
$computers = @('PC01', 'PC02', 'PC03')
Invoke-Command -ComputerName $computers -ScriptBlock {
  Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*" | 
    Where-Object { $_.DisplayName -like "*Adobe*Acrobat*Reader*" } | 
    Select-Object DisplayName, DisplayVersion
} -ErrorAction SilentlyContinue

Le versioni vulnerabili sono quelle precedenti alla patch. Consulta il bollettino Adobe per l'elenco completo, ma tieni presente che versioni del 2025 e precedenti sono quasi certamente a rischio.

Errore comune: Pensare che basti avere l'ultima versione. No. Deve essere la versione specifica patchata. Controlla il build number.

---

Step 2: Applica la patch manualmente (se hai fretta)

Se hai un utente bloccato e non puoi aspettare il deployment centralizzato:

1. Vai su https://get.adobe.com/reader/
2. Scarica la versione più recente
3. Disinstalla la versione vecchia da Pannello di Controllo > Programmi
4. Installa la nuova versione
5. Riavvia il PC

Per le versioni enterprise, usa Adobe Admin Console:

# Download manuale Enterprise
# Vai su https://helpx.adobe.com/enterprise/kb/enterprise-product-links.html
# Scarica il pacchetto MSI per il tuo gruppo

Errore common: Installare la versione reader al posto della versione Pro. Se avete Acrobat Pro (a pagamento), patchatelo pure. Reader e Pro sono prodotti diversi.

---

Step 3: Distribuisci la patch via deployment centralizzato

Se usi Intune:

1. Converti il setup Adobe in .intunewin
2. Carica il pacchetto su Intune > Apps
3. Assegna al gruppo dei PC Windows
4. Configura il detection rule per la versione patchata

Se usi SCCM:

1. Crea un application package con il setup Adobe
2. Distribuisci alla collection dei PC non patchati
3. Imposta la scadenza a "ASAP"

Se usi GPO (vecchia scuola):

• Crea uno script di login che verifica e aggiorna se necessario
• Oppure usa Software Installation policies

Consiglio: Se hai tanti PC, falla pianificata di notte. L'aggiornamento Adobe pesa circa 200MB.

---

Step 4: Proteggi l'email aziendale dai PDF malevoli

Qui entra in gioco la protezione email. Anche se patchi tutti i PC, il primo vettore resta l'email. Un PDF malevolo arriva nella inbox del tuo utente, che lo apre prima che tu possa dire "aggiornamento".

La difesa in depth funziona così:

1. Filtro antispam: Blocca i PDF provenienti da mittenti sconosciuti con attachment sospetti
2. Sandbox: Apri il PDF in un ambiente isolato prima di consegnarlo all'utente
3. URL analysis: Se il PDF contiene link malevoli, blocali prima che l'utente ci clicchi

MailSniper offre protezione inbound che include sandboxing degli allegati e analisi real-time degli URL. Non sostituisce il patch management, ma è il secondo livello di difesa che ti salva il culo quando un utente clicca su qualcosa che non dovrebbe.

---

Step 5: Configura le policy di blocco PDF

Aggiorna le regole del tuo Secure Email Gateway:

# Regola generica (da adattare al tuo gateway)
- Se attachment = .pdf
- E mittente = esterno/non in whitelist
- Econtains keywords = ["invoice", "urgent", "payment", "confidential"]
- ALLORA: quarantena + notifica admin

Alza il livello di scrutinio per i PDF:

• Scanning con OCR per rilevare testo nascosto
• Analisi comportamentale del codice JS embedded
• Blocca PDF con oggetti multimediali sospetti

---

VERIFICA

Dopo aver applicato le patch, verifica che tutto sia a posto:

# Verifica versione patchata
$version = (Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*" | 
  Where-Object { $_.DisplayName -like "*Adobe*Acrobat*Reader*" }).DisplayVersion

if ($version -ge "24.001.20604") {  # Sostituisci con la versione patchata corretta
  Write-Host "OK - Patch applicata: $version"
} else {
  Write-Host "ATTENZIONE - Versione vulnerabile: $version"
}

Controlla i log di sistema:

# Eventi di installazione
Get-EventLog -LogName Application -Source "Adobe*" -Newest 50 | 
  Select-Object TimeGenerated, Message

Se usi un SIEM, verifica che gli alert per Adobe Reader siano attivi e funzionanti. Fai un test: invia un PDF fittizio a un utente e guarda se il filtro lo intercetta.

---

TROUBLESHOOTING

Il PC non si aggiorna, errore 1603

L'errore 1603 è un classico. Spesso significa che Acrobat è già aperto. Chiudi tutti i processi Adobe e riprova:

Stop-Process -Name "AcroRd32", "Acrobat" -Force -ErrorAction SilentlyContinue

L'utente ha diritti limitati e non può installare

Non dare diritti admin agli utenti. Usa il deployment centralizzato o crea un pacchetto via policy. Se serve urgenza, usa RunAsInvoker ma solo per emergenza.

Il PDF viene bloccato dal filtro ma è legittimo

Aggiungi il mittente alla whitelist, ma solo dopo verifica. Controlla che il dominio sia legittimo e che l'utente si aspettasse quel file. Non fare whitelist a caz.

La patch non viene rilevata dal detection rule

Il detection rule dipende dal tuo strumento. Controlla che stia cercando la versione corretta. A volte il registry key cambia tra versioni. Testa su un PC campione prima di distribuire a tutti.

---

CONCLUSIONE

CVE-2026-34621 non è uno scherzo. È una falla già sfruttata, con impatto critico, che colpisce uno degli software più usati in azienda: Acrobat Reader.

Il tuo piano d'azione:

1. Inventaria i PC non patchati — ora
2. Applica la patch — oggi
3. Verifica che i filtri email intercettino i PDF sospetti
4. Pianifica aggiornamenti automatici per il futuro

Se hai un antispam che fa solo spam detection tradizionale, considera di potenziarlo. MailSniper include sandboxing e URL analysis che bloccano questi vettori. Non aspettare che sia il tuo utente a segnalare il problema.

Il tempo tra la patch e l'attacco è sempre più breve. Agisci prima.