Zeroday-lek in Google Chrome laat aanvallers uit sandbox-beveiliging breken

In maart 2025 ontdekte Kaspersky een golf van infecties die ontstonden doordat gebruikers op gepersonaliseerde phishing-links klikten die via e-mail werden verstuurd. Na het klikken was geen verdere actie nodig om de systemen te compromitteren. Kaspersky's analyse bevestigde dat de exploit gebruik maakte van een onbekende kwetsbaarheid in de nieuwste versie van Chrome, waarna het bedrijf bij Google aan de bel trok. Het Amerikaanse techbedrijf bracht vervolgens op 25 maart 2025 een beveiligingspatch uit.

Operation ForumTroll

De campagne, genaamd "Operation ForumTroll", richtte zich op mediakanalen, onderwijsinstellingen en overheidsorganisaties in Rusland door middel van uitnodigingen voor een forum genaamd "Primakov Readings". De kwaadaardige links waren slechts korte tijd beschikbaar om detectie te voorkomen en verwezen gebruikers uiteindelijk door naar de legitieme website. De kwetsbaarheid in Chrome was slechts een deel van een keten van exploits, waarvan de eerste een remote code execution (RCE)-exploit was en de tweede de sandbox-ontsnapping die Kaspersky ontdekte. De aanval was waarschijnlijk bedoeld voor spionage en werd uitgevoerd door een Advanced Persistent Threat (APT)-groep.

"Deze kwetsbaarheid valt op tussen de tientallen zero-days die we in de loop der jaren hebben ontdekt", zegt Boris Larin, Hoofdbeveiligingsonderzoeker bij Kaspersky GReAT. "De exploit omzeilde de sandbox-beveiliging van Chrome zonder duidelijk kwaadaardige bewerkingen uit te voeren - het is alsof de beveiligingsgrens gewoon niet bestond. De technische verfijning die hier wordt getoond, duidt op ontwikkeling door hoogopgeleide actoren met aanzienlijke middelen. We adviseren gebruikers dringend om hun Google Chrome en andere Chromium- browsers bij te werken naar de nieuwste versie om zich tegen deze kwetsbaarheid te beschermen."