Разработчики Google Chrome исправили уязвимость нулевого дня (CVE-2025-2783), которая позволяла осуществить побег из песочницы браузера. Проблему выявили специалисты «Лаборатории Касперского», которые пишут, что уязвимость была связана с операцией «Форумный тролль», APT-атакой, использовавшей цепочку эксплоитов нулевого дня.
В середине марта 2025 года исследователи обнаружили волну заражений ранее неизвестным сложным вредоносным ПО. Заражение происходило сразу после того, как жертва открывала ссылку из фишингового письма в браузере Google Chrome, и никаких дополнительных действий от пользователя не требовалось.
Отмечается, что все вредоносные ссылки были персонализированы и имели очень короткий срок «жизни», однако исследователи сумели идентифицировать 0-day эксплоит, который использовался для побега из песочницы Google Chrome.
Анализ кода эксплоита и логики его работы показал, что он основан на уязвимости нулевого дня (присутствующей в том числе в последней версии Chrome), после чего эксперты уведомили о баге команду безопасности Google. 25 марта 2025 года разработчики браузера выпустили обновление, исправляющее уязвимость.
Исследователи пишут, что этот эксплоит был одним из самых интересных из всех, с которыми им доводилось сталкиваться. А уязвимость CVE-2025-2783 заставила их поломать голову, так позволяла легко обойти защиту песочницы Google Chrome без каких-либо очевидно вредоносных или запрещенных действий, будто ее вообще не существовало.
Причиной оказалась логическая ошибка на стыке песочницы и операционной системы Windows, и технические подробности будут опубликованы «Лабораторией Касперского» после того, как большинство пользователей установят обновленную версию браузера с патчем (134.0.6998.177/.178).
«Наше исследование еще продолжается, но, судя по функциональности сложного вредоносного ПО, использованного в атаке, целью злоумышленников был шпионаж. Вредоносные письма содержали приглашения от лица организаторов научно-экспертного форума “Примаковские чтения” и были нацелены на средства массовой информации, образовательные учреждения и правительственные организации в России. Мы назвали эту кампанию “Форумный тролль”, опираясь на тематику писем», — рассказывают эксперты.
Подчеркивается, что на момент публикации отчета вредоносная ссылка не вела на эксплоит, а перенаправляла посетителей на официальный сайт «Примаковских чтений», но исследователи настоятельно не рекомендуют переходить по вредоносной ссылке.
Обнаруженный эксплоит был разработан для запуска вместе с дополнительным эксплоитом, позволяющим удаленно выполнять код. К сожалению, получить этот второй эксплоит специалистам не удалось.
«Мы могли бы это сделать, но тогда пришлось бы дожидаться новой волны атак и подвергать пользователей риску заражения. Исправление для уязвимости побега из песочницы предотвращает использование всей цепочки для дальнейших атак», — объясняют в компании.
Все изученные на данный момент артефакты указывают на высокий технический уровень злоумышленников, поэтому аналитики утверждают, что за этой атакой стоит некая «продвинутая и спонсируемая государством APT-группа».
