Google lanzó una actualización de seguridad urgente para su navegador Chrome después de que investigadores de ciberseguridad de Kaspersky descubrieran una vulnerabilidad de día cero que está siendo explotada activamente por actores de amenazas sofisticados.
La vulnerabilidad, identificada como CVE-2025-2783, permitió a los atacantes eludir la protección de la zona de pruebas de Chrome a través de un error lógico en la intersección del marco de seguridad de Chrome y el sistema operativo Windows, esencialmente dejando ineficaces las medidas de protección del navegador.
La vulnerabilidad de día cero, identificada como CVE-2025-2783, se descubrió a mediados de marzo de 2025 cuando los sistemas de detección de Kaspersky identificaron una ola de infecciones de malware previamente desconocido.
En todos los casos documentados, las infecciones ocurrieron inmediatamente después de que las víctimas hicieron clic en enlaces en correos electrónicos de phishing, y los sitios web maliciosos se abrieron en Google Chrome sin requerir ninguna interacción adicional del usuario.
«La vulnerabilidad CVE-2025-2783 realmente nos dejó rascándonos la cabeza, ya que, sin hacer nada obviamente malicioso o prohibido, permitió a los atacantes eludir la protección sandbox de Google Chrome como si ni siquiera existiera», señalaron los investigadores de Kaspersky en su análisis.
Según el boletín de seguridad de Google, el examen técnico reveló que el exploit aprovechaba un «identificador incorrecto proporcionado en circunstancias no especificadas en Mojo en Windows».
La vulnerabilidad se clasificó como de gravedad «alta» y Google reconoció que existen exploits en la naturaleza.
El resumen de la vulnerabilidad se proporciona a continuación:
- Productos afectados: Google Chrome para Windows (versiones anteriores a 134.0.6998.177/.178)
- Impacto: Ejecución remota de código y compromiso del sistema.
- Requisitos previos: El usuario debe hacer clic en un enlace malicioso, generalmente enviado a través de un correo electrónico de phishing.
- Puntuación CVSS 3.1: Alta gravedad
La campaña de ataque, denominada “Operación ForumTroll” por Kaspersky, se dirigió específicamente a medios de comunicación, instituciones educativas y organizaciones gubernamentales rusas.
Los atacantes enviaron correos electrónicos de phishing personalizados disfrazados de invitaciones a un foro científico y de expertos llamado «Lecturas Primakov».
Cada enlace malicioso estaba personalizado y tenía una vida útil corta, lo que dificultaba la detección.
Sin embargo, las tecnologías de detección de exploits de Kaspersky identificaron con éxito el exploit de día cero utilizado para escapar del entorno limitado de Chrome.
Los investigadores observaron que la naturaleza sofisticada del ataque sugiere la participación de un grupo APT (Amenaza Persistente Avanzada) patrocinado por el estado cuyo objetivo principal parece ser el espionaje.
Al recibir el informe detallado de Kaspersky, Google rápidamente abordó el problema. El 25 de marzo de 2025, Google lanzó las actualizaciones de Chrome 134.0.6998.177 y 134.0.6998.178 para usuarios de Windows, incluido un parche de vulnerabilidad.
El canal estable extendido también se actualizó a la versión 134.0.6998.178 para Windows, y ambas actualizaciones se implementarán en los próximos días y semanas.
En su anuncio de Actualización del canal estable, Google reconoció a los investigadores de Kaspersky Boris Larin (@oct0xor) e Igor Kuznetsov (@2igosha) por informar sobre la vulnerabilidad el 20 de marzo de 2025.
La cadena de exploits involucraba dos componentes: la vulnerabilidad de escape del sandbox y un exploit de ejecución remota de código.
Si bien Kaspersky no pudo obtener el segundo exploit, parchear la vulnerabilidad de escape del sandbox bloquea efectivamente toda la cadena de ataque.
Los productos de Kaspersky detectan exploits y malware con veredictos que incluyen:
- Exploit.Win32.Generic
- Trojan.Win64.Agent
- Trojan.Win64.Covagent.gen
- PDM:Exploit.Win32.Generic
- PDM:Trojan.Win32.Generic
- UDS:DangerousObject.Multi.Generic
El principal indicador de compromiso identificado fue primakovreadings[.]info.
Los expertos en seguridad recomiendan encarecidamente a los usuarios de Chrome que actualicen sus navegadores de inmediato.
La actualización se implementará automáticamente en los próximos días y semanas, pero los usuarios pueden buscar actualizaciones manualmente navegando al menú de configuración de Chrome, seleccionando «Acerca de Chrome» e instalando las actualizaciones disponibles.
Kaspersky desaconseja hacer clic en enlaces potencialmente maliciosos y planea publicar un informe técnico detallado sobre el exploit una vez que la mayoría de los usuarios hayan instalado la versión actualizada del navegador.
Como lo demuestra este incidente, incluso los navegadores modernos más utilizados con múltiples capas de seguridad pueden contener vulnerabilidades que los atacantes sofisticados pueden aprovechar. Las actualizaciones periódicas y un comportamiento cauteloso en línea siguen siendo defensas esenciales contra las ciberamenazas en evolución.
