Google hat einen kritischen Sicherheitspatch für seinen Chrome-Browser veröffentlicht, nachdem Kaspersky eine schwerwiegende Zero-Day-Sicherheitslücke entdeckt hatte.
Die als CVE-2025-2783 katalogisierte Schwachstelle ermöglichte Angreifern, die Sandbox-Schutzmaßnahmen des Browsers zu umgehen und kompromittierte die Systeme der betroffenen Nutzer ohne weitere Benutzerinteraktion.
Phishing-Kampagne „Operation ForumTroll“
Sicherheitsexperten von Kaspersky entdeckten Mitte März 2025 eine Serie von Infektionen, die durch Phishing-E-Mails ausgelöst wurden. Die Sicherheitsforscher konnten die Vorfälle auf eine Zero-Day-Lücke zurückführen, die aktiviert wurde, sobald die Opfer mit einem Chrome-Browser auf eine präparierte Website klickten. Die gezielte Angriffswelle lockte die Opfer über personalisierte Phishing-E-Mails mit einer vermeintlichen Einladung zum Forum „Primakov Readings“. Nach dem Anklicken des enthaltenen Links war keine weitere Nutzerinteraktion erforderlich – die Systeme wurden vollständig kompromittiert.
Die als „Operation ForumTroll“ bezeichnete Kampagne zielte primär auf Medienunternehmen, Bildungseinrichtungen und Regierungsorganisationen in Russland ab. Um die Entdeckung zu erschweren, waren die schädlichen Links nur kurzzeitig aktiv und leiteten die Opfer nach Ausführung des Exploits auf die legitime Website des „Primakov Readings“ weiter.
Komplexe Exploit-Kette
Die von Kaspersky entdeckte Sicherheitslücke CVE-2025-2783 bildete nur einen Teil einer mehrstufigen Angriffskette:
- Eine bislang unbekannte Remote Code Execution (RCE)-Schwachstelle in Chrome initiierte den Angriff
- Der identifizierte Sandbox-Ausbruch ermöglichte die weitere Ausführung von Schadcode außerhalb der Schutzumgebung
„Diese Sicherheitslücke hebt sich von den zahlreichen Zero-Day-Schwachstellen ab, die wir im Laufe der Jahre entdeckt haben“, erklärt Boris Larin, leitender Sicherheitsexperte bei Kaspersky GReAT. „Der Exploit umging den Sandbox-Schutz von Chrome, ohne dabei offensichtlich schädliche Aktionen auszuführen – es war, als existiere diese Sicherheitsbarriere einfach nicht.“
Die technische Raffinesse des Exploits deutet auf hochqualifizierte Akteure mit erheblichen Ressourcen hin – typische Merkmale einer Advanced Persistent Threat (APT)-Gruppe. Nach Analyse der Malware-Funktionalität gehen die Forscher davon aus, dass die Operation primär Spionagezwecke verfolgte.
Schnelle Reaktion von Google
Nach der Bestätigung der bislang unbekannten Schwachstelle informierte Kaspersky umgehend das Sicherheitsteam von Google. Am 25. März 2025 veröffentlichte der Browser-Hersteller einen Sicherheitspatch, der die Lücke schließt.
Kaspersky setzt die Untersuchung der Operation ForumTroll fort und plant, eine detaillierte technische Analyse der Exploits und der eingesetzten Schadsoftware zu veröffentlichen, sobald die Sicherheit der Chrome-Nutzer durch ausreichende Patch-Verbreitung gewährleistet ist.
Schutzmaßnahmen
Die Forscher empfehlen allen Nutzern dringend, Google Chrome sowie alle Chromium-basierten Browser auf die neueste Version zu aktualisieren. Darüber hinaus raten die Sicherheitsexperten:
- Betriebssystem und Software regelmäßig zu aktualisieren
- Eine mehrschichtige Sicherheitslösung mit KI/ML-Technologien einzusetzen
- SOC-Teams sollten stets Zugriff auf aktuelle Threat-Intelligence-Informationen haben