Google załatał potężną dziurę w przeglądarce Chrome. W tle Rosja
Dziura w zabezpieczeniach pozwalała na opuszczenie trybu sandbox przeglądarki, co potem prowadziło do przejęcia kontroli nad maszyną. Podatność ta najprawdopodobniej była wykorzystywana w celu inwigilacji rosyjskich dziennikarzy.
Na ślad rzeczonej podatności, określonej mianem CVE-2025-2783, wpadła firma Kaspersky. Luka w zabezpieczeniach była powiązana z kolejnym exploitem, który służył do zdalnego wykonywania kodu. Całość zaś pozwalała na przejęcie kontroli nad komputerem.
Ciekawy scenariusz ataku
Według firmy Kaspersky początkiem sekwencji był phising i mail zawierający krótki, spersonalizowany link, który prowadził do spreparowanej strony. Jej uruchomienie w przeglądarce Chrome powodowało, że atakujący zyskiwali dostęp do maszyny użytkownika. Ten prosty scenariusz ataku sprawił, iż akcja była najprawdopodobniej bardzo skuteczna.
Odkryliśmy i zgłosiliśmy dziesiątki exploitów typu zero-day aktywnie wykorzystywanych w atakach, ale ten konkretny exploit jest z pewnością jednym z najciekawszych, na jakie się natknęliśmy. Luka CVE-2025-2783 naprawdę sprawiła, że drapaliśmy się po głowach, ponieważ bez robienia niczego ewidentnie złośliwego lub zabronionego, pozwoliła atakującym ominąć ochronę piaskownicy Google Chrome, jakby ta w ogóle nie istniała. Przyczyną tego był błąd logiczny na przecięciu sandboxa Google Chrome i systemu operacyjnego Windows. Planujemy opublikować szczegóły techniczne tej luki, gdy większość użytkowników zainstaluje zaktualizowaną wersję przeglądarki, która ją naprawia.
Firma w oświadczeniu stwierdziła również, że luka została odkryta dzięki działaniu zautomatyzowanego narzędzia. Niestety, drugiej podatności użytej w ataku nie udało się zidentyfikować – tym niemniej badacze donoszą, że dzięki wyrugowaniu pierwszej łańcuch służący do przeprowadzania przedstawianej tu i nazwanej mianem ForumTroll operacji został skutecznie przerwany.
Kto stoi za atakiem?
Specjaliści z firmy Kaspersky podejrzewają, że tak prosty, ale zarazem wyrafinowany scenariusz może wskazywać na to, że w procederze brali udział ludzie ze wsparciem rządu. Jakiego? Żadne kategoryczne sformułowania nie padają, jednak maile z prowadzącym do infekcji linkiem trafiły do rosyjskich mediów i placówek edukacyjnych. Konkluzja wydaje się więc dość oczywista.
