L’équipe globale de recherche et d’analyse (GReAT) a identifié une vulnérabilité zero-day dans Google Chrome qui permet aux attaquants de contourner le système de protection de la sandbox du navigateur. Une vulnérabilité corrigée depuis par Google, mais actuellement utilisée dans le cadre d’une campagne malveillante.

C’est à la mi-mars que Kaspersky a détecté une vague d’infections suite à des liens de phishing transmis par mail. Jusqu’ici, rien d’exceptionnel. À la différence près que le clic initial vers des liens malveillants était la seule action requise de la part des victimes pour permettre aux attaquants de compromettre leurs systèmes.

Pour parvenir à cette fin, les acteurs de la menace ont exploité une vulnérabilité zero-day dans Google Chrome. Cette campagne d’espionnage, qualifiée de menace persistante avancée par Kaspersky (APT), a été baptisée « Operation ForumTroll ». Elle ciblait des utilisateurs travaillant dans les secteurs des médias, des établissements scolaires et des organisations gouvernementales en Russie. La chaîne d’attaque comprenait au minimum deux exploits : l’exécution de code à distance, qui, à ce jour, n’a pas été identifiée et permettait de lancer une attaque, et l’évasion de sandbox, décrite par Kaspersky, qui était en fait la deuxième étape.

Des liens malveillants avec date de péremption

« L’exploit a contourné la protection sandbox de Chrome sans effectuer d’opérations manifestement malveillantes, comme si la couche de sécurité n’existait tout simplement pas. La sophistication technique affichée ici indique que l’exploit a été développé par des acteurs hautement qualifiés disposant de ressources significatives. Nous conseillons vivement à tous les utilisateurs de mettre à jour leur navigateur Chrome, et tout autre navigateur basé sur Chromium, vers la version la plus récente afin de se protéger contre cette vulnérabilité », décrit Kaspersky. Pour échapper à la détection, les liens malveillants expiraient peu de temps après le clic initial, et redirigeaient vers un site web légitime, « Primakov Readings ». Prévenu par Kaspersky, Google a publié un correctif mardi 25 mars.