Kaspersky hat eine komplexe Zero-Day-Sicherheitslücke in Google Chrome entdeckt und bei deren Behebung unterstützt. Die Schwachstelle CVE-2025-2783 wurde wohlmöglich zu Spionagezwecken konzipiert und ermöglichte es den Angreifern, das Sandbox-Schutzsystem des Browsers zu umgehen. Die betroffenen Nutzer erhielten personalisierte Phishing-Links per E-Mail; nach Anklicken dieses Links waren keine weiteren Aktionen seitens der Nutzer nötig, um die Systeme zu kompromittieren. Google stellt einen Sicherheitspatch bereit [1].
Mitte März 2025 entdeckten Kaspersky-Experten eine Infektionswelle, die durch das Klicken auf personalisierte Phishing-Links in E-Mails ausgelöst wurde. Diese enthielten eine vermeintliche Einladung zum Forum „Primakov Readings“. Nach dem Anklicken des Links waren keine weiteren Aktionen erforderlich, um die Systeme zu kompromittieren. Die von Kaspersky als „Operation ForumTroll“ bezeichnete Kampagne richtete sich vor allem gegen Medienunternehmen, Bildungseinrichtungen und Regierungsorganisationen in Russland. Die schädlichen Links waren äußerst kurzlebig, um eine Entdeckung zu vermeiden, und führten in den meisten Fällen, nachdem der Exploit entfernt wurde, auf die legitime Website des „Primakov Readings“.
Die entdeckte Zero-Day-Sicherheitslücke CVE-2025-2783 war nur ein Teil einer Exploit-Kette, die mindestens zwei Exploits umfasste: einen bislang unbekannten Remote Code Execution (RCE)-Exploit, der offenbar den Angriff auslöste, und den von Kaspersky entdeckten Sandbox-Ausbruch, der die zweite Stufe des Angriffs darstellte. Die Analyse der Malware-Funktionalität lässt darauf schließen, dass die Operation primär zu Spionagezwecken konzipiert war. Alle Hinweise deuten auf eine Advanced Persistent Threat (APT)-Gruppe hin.
„Diese Sicherheitslücke hebt sich von den zahlreichen Zero-Day-Schwachstellen ab, die wir im Laufe der Jahre entdeckt haben“, erklärt Boris Larin, leitender Sicherheitsexperte bei Kaspersky GReAT. „Der Exploit umging den Sandbox-Schutz von Chrome, ohne dabei offensichtlich schädliche Aktionen auszuführen – es war, als existiere diese Sicherheitsbarriere einfach nicht. Die hier gezeigte technische Raffinesse lässt auf eine Entwicklung durch hochqualifizierte Akteure mit erheblichen Ressourcen schließen. Wir empfehlen allen Nutzern dringend, Google Chrome sowie alle Chromium-basierten Browser auf die neueste Version zu aktualisieren, um sich vor dieser Sicherheitslücke zu schützen.“
Nach der Bestätigung durch Kasperskys Analyse, dass der Exploit eine bislang unbekannte Schwachstelle in der neuesten Version von Google Chrome ausnutzte, informierte Kaspersky umgehend das Sicherheitsteam von Google. Am 25. März 2025 wurde ein Sicherheitspatch für die Schwachstelle veröffentlicht. Google dankt Kaspersky für die Entdeckung und Meldung der Schwachstelle, was das kontinuierliche Engagement des Unternehmens für die Zusammenarbeit mit der globalen Cybersicherheits-Community und den Schutz der Nutzersicherheit unterstreicht.
Kaspersky setzt die Untersuchung der Operation ForumTroll fort. Weitere Details, einschließlich einer technischen Analyse der Exploits und der Schadsoftware, werden veröffentlicht, sobald die Sicherheit der Google-Chrome-Nutzer gewährleistet ist.
Alle Kaspersky-Produkte erkennen und blockieren diese Exploit-Kette sowie die zugehörige Malware und schützen so die Nutzer vor der Bedrohung.
Kaspersky-Tipps zum Schutz
- Betriebssystem und Browser aktualisieren – insbesondere Google Chrome –, damit Angreifer neu entdeckte Schwachstellen nicht ausnutzen können. Im Allgemeinen Betriebssystem und Software regelmäßig aktualisieren.
- Auf eine mehrschichtige Sicherheitslösung wie Kaspersky Next XDR Expert [2] setzen, die KI/ML nutzt, um Daten aus verschiedenen Quellen zu korrelieren und die Erkennung und Reaktion auf komplexe Bedrohungen und APT-Kampagnen zu automatisieren.
- Das SOC-Team sollte stets Zugriff auf Threat Intelligence haben. Aktuelle, kontextbezogene Informationen – wie sie Kaspersky Threat Intelligence [3] bietet – helfen dabei, über neue Zero-Day-Exploits und die neuesten Angriffstechniken informiert zu bleiben.
[1] https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_25.html
[2] https://www.kaspersky.de/enterprise-security/xdr
[3] https://www.kaspersky.de/enterprise-security/threat-intelligence
Nützliche Links:
- Google-Patch: https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_25.html
- Kaspersky Next XDR Expert: https://www.kaspersky.de/enterprise-security/xdr
- Kaspersky Threat Intelligence: https://www.kaspersky.de/enterprise-security/threat-intelligence
