Chyba s označením CVE-2025-2783 byla klasifikována jako zero-day, což znamená, že nebyla předem známá ani Googlu. Objevena byla až poté, co Kaspersky zachytil začátkem března podezřelou vlnu útoků.

Podle vyjádření bezpečnostních expertů šlo o velmi dobře naplánovanou a cílenou phishingovou kampaň. Uživatelé dostávali personalizované e-maily s pozvánkou na konferenci Primakov Readings, která se má konat v Moskvě. Po kliknutí na odkaz nebylo třeba dělat nic dalšího – systém byl okamžitě infikován.

Útočníci obešli ochranný sandbox

Zranitelnost se týkala logické chyby na rozhraní mezi sandboxem Chrome a operačním systémem Windows. Využíván byl konkrétně modul Mojo, což je nástroj sloužící ke komunikaci mezi různými částmi systému. Právě skrze něj se hackerům podařilo obejít sandbox, tedy bezpečnostní mechanismus, který má bránit malwaru v rozšíření mimo prohlížeč.

Zatímco obvykle sandbox chrání před tím, aby škodlivý kód napadl zbytek systému, v tomto případě ho útočníci efektivně obešli – a to bez nutnosti interakce ze strany uživatele.

Zdroj: Shutterstock

Falešné pozvánky, reálné následky

Kaspersky uvádí, že většina napadených byla z řad ruských médií, univerzit a vládních institucí. Odkazy byly vytvořeny tak, aby měly velmi krátkou platnost, což ztěžovalo jejich odhalení. Po provedení útoku většinu uživatelů přesměrovaly na legitimní stránky konference, čímž se zamaskoval celý útok.

Je možné, že útok využíval více než jednu zranitelnost – kromě té, která umožnila únik ze sandboxu, mohla být použita i další zero-day chyba pro spuštění vzdáleného kódu. Detaily o konkrétním spyware, který byl do zařízení instalován, chce Kaspersky zveřejnit později – až většina uživatelů aktualizuje své systémy.

Nouzová záplata už je venku

Google však reagoval rychle. Nouzová aktualizace pro Chrome na Windows, konkrétně verze 134.0.6998.178, byla vydána v úterý. Společnost zároveň doporučuje aktualizovat i další prohlížeče postavené na Chromiu, jako je Microsoft Edge, který podle dostupných informací bude brzy obsahovat vlastní opravu.

„Technická úroveň tohoto útoku jasně ukazuje na vysoce schopné aktéry se značnými zdroji. Všem uživatelům důrazně doporučujeme co nejdříve aktualizovat prohlížeč, aby se ochránili před touto zranitelností,“ uvedl bezpečnostní výzkumník Boris Larin z Kaspersky.