Google đã phát hành các bản cập nhật khẩn cấp để khắc phục một lỗ hổng bảo mật nghiêm trọng trong trình duyệt Chrome trên hệ điều hành Windows, sau khi phát hiện lỗ hổng này đã bị khai thác trong các cuộc tấn công nhằm vào các tổ chức tại Nga.
Lỗ hổng này, được định danh là CVE-2025-2783 với điểm CVSS là 8.3, được mô tả là “xử lý không đúng trong một số trường hợp không xác định trong Mojo trên Windows.” Mojo là tập hợp các thư viện runtime cung cấp cơ chế giao tiếp liên tiến trình (IPC) độc lập với nền tảng.
Như thường lệ, Google không tiết lộ thêm chi tiết kỹ thuật về bản chất của các cuộc tấn công, danh tính của các tác nhân đe dọa đứng sau, cũng như những ai có thể đã bị nhắm mục tiêu. Lỗ hổng đã được khắc phục trong phiên bản Chrome 134.0.6998.177/.178 dành cho Windows.
“Google nhận thức được các báo cáo rằng có một khai thác cho CVE-2025-2783 tồn tại trong thực tế,” gã khổng lồ công nghệ thừa nhận trong một thông báo ngắn gọn.
Đáng chú ý, CVE-2025-2783 là lỗ hổng zero-day đầu tiên của Chrome bị khai thác tích cực kể từ đầu năm. Các nhà nghiên cứu Boris Larin và Igor Kuznetsov từ Kaspersky đã được ghi nhận là những người phát hiện và báo cáo lỗ hổng này vào ngày 20 tháng 3 năm 2025.
Nhà cung cấp an ninh mạng Nga, trong một thông báo riêng, mô tả việc khai thác zero-day của CVE-2025-2783 là một cuộc tấn công có mục tiêu với kỹ thuật cao, cho thấy sự hiện diện của một nhóm đe dọa dai dẳng nâng cao (APT). Họ đang theo dõi hoạt động này dưới tên gọi Operation ForumTroll.
“Trong tất cả các trường hợp, việc nhiễm độc xảy ra ngay sau khi nạn nhân nhấp vào một liên kết trong email lừa đảo, và trang web của kẻ tấn công được mở bằng trình duyệt Google Chrome,” các nhà nghiên cứu cho biết. “Không cần thêm hành động nào để bị nhiễm.”
“Bản chất của lỗ hổng này liên quan đến một lỗi logic tại giao điểm giữa Chrome và hệ điều hành Windows, cho phép bỏ qua cơ chế bảo vệ sandbox của trình duyệt.”
Các liên kết ngắn hạn được cho là đã được cá nhân hóa cho các mục tiêu, với mục đích cuối cùng là gián điệp. Các email lừa đảo, theo Kaspersky, chứa các lời mời được cho là từ ban tổ chức của một diễn đàn khoa học và chuyên gia hợp pháp, Primakov Readings.
Các email lừa đảo này đã nhắm vào các cơ quan truyền thông, cơ sở giáo dục và tổ chức chính phủ tại Nga. Hơn nữa, CVE-2025-2783 được thiết kế để hoạt động cùng với một khai thác bổ sung giúp thực thi mã từ xa. Kaspersky cho biết họ không thể thu thập được khai thác thứ hai này.
“Tất cả các bằng chứng về cuộc tấn công được phân tích cho đến nay cho thấy mức độ tinh vi cao của các kẻ tấn công, cho phép chúng tôi tự tin kết luận rằng một nhóm APT được nhà nước bảo trợ đứng sau cuộc tấn công này,” các nhà nghiên cứu nhận định.
Trước tình hình khai thác đang diễn ra, người dùng các trình duyệt dựa trên Chromium như Microsoft Edge, Brave, Opera và Vivaldi cũng được khuyến cáo áp dụng các bản vá khi chúng có sẵn.
Theo The Hacker News