SavePearlHarbor

CVE-2026-3502 в TrueConf: как доверенный механизм обновлений превратился в вектор атаки

от автора

admin

Хабр, привет! На связи Алина Байрамова, аналитик-исследователь угроз кибербезопасности RVision.

В этой статье я разберу уязвимость нулевого дня в TrueConf Server (CVE-2026-3502), связанную с механизмом обновлений, и то, как она может быть использована для компрометации изолированных инфраструктур через доверенный канал распространения ПО.

Изолированная инфраструктура часто воспринимается как синоним доверенной среды. Особенно это заметно в госсекторе и на объектах КИИ, где внутренние сервисы разворачиваются в закрытых сегментах и получают статус «безопасных по умолчанию». Однако именно такие компоненты нередко становятся наиболее интересными с точки зрения атакующей модели.

TrueConf Server — типичный пример подобного класса решений. Это on-premise платформа видеоконференцсвязи, работающая внутри LAN и широко используемая в сетях без прямого доступа в интернет. В таких условиях она становится частью доверенного контура, а механизмы взаимодействия с ней редко подвергаются дополнительной валидации.

31 марта 2026 года компания Check Point Research обнаружила уязвимость нулевого дня в клиентском приложении TrueConf (CVE-2026-3502, CVSS 7.8). Проблема связана с механизмом проверки обновлений и при определённых условиях позволяет атакующему, имеющему контроль над локальным сервером TrueConf, распространять и выполнять произвольные файлы на подключенных клиентах.

Ключевой момент заключается в том, что эксплуатация не требует выхода за пределы периметра. Достаточно компрометации сервера внутри сети. В таком случае механизм обновления фактически превращается в доверенный канал доставки кода.

Именно этот подход был использован в рамках операции TrueChaos, нацеленной на государственные организации стран Юго-Восточной Азии. Атакующие злоупотребляли механизмом обновлений для распространения вредоносного ПО, опираясь на отсутствие строгой проверки подлинности обновлений.

В результате внутренний доверенный сервис становится точкой масштабной компрометации инфраструктуры.

Поверхность атаки

По результатам поиска по запросу trueconf server в Shodan было обнаружено около 560 доступных хостов, из которых 263 находятся на территории России.

При этом следует учитывать, что фактические масштабы применения могут оказаться более значительными.. Часть серверов развёрнута в полностью изолированных сегментах и недоступна для внешнего сканирования.

В таких условиях компрометация одного сервера может приводить к распространению вредоносного кода на все подключённые клиентские устройства. Ниже рассмотрен типовой сценарий эксплуатации уязвимости, зафиксированный в рамках операции TrueChaos.

Сценарий эксплуатации

1. Атакующий получает доступ к серверу TrueConf.

2. На сервере размещается вредоносное обновление.

3. Пользователь запускает клиент TrueConf.

4. Клиент обнаруживает новую версию и предлагает обновление.

5. Вместе с легитимным исполняемым файлом загружается вредоносная DLL.

6. Происходит загрузка подменённой библиотеки (DLL hijacking) и выполнение вредоносного кода.

7. Атакующий закрепляется в системе и может выполнять дальнейшие действия (разведка, загрузка инструментов).

Как работает механизм обновления

При запуске клиент TrueConf проверяет доступность обновлений на подключённом сервере. Если версия клиента на сервере выше установленной, пользователю предлагается загрузить обновление по определенному адресу: https://{trueconf_server}/downloads/trueconf_client.exe

 Сами же файлы обновления хранятся локально в директории сервера TrueConf:

C:\Program Files\TrueConf Server\ClientInstFiles\

Таким образом, сервер выступает доверенным источником обновлений.

В документации к продукту, вендор указывает, что есть способ обновления клиента, без переустановки сервера. Ниже описывается процесс ручного обновления клиента.

Достаточно переименовать файл в ожидаемый формат, увеличить версию клиента и разместить файлы клиентов в директориях — C:\Program Files\TrueConf Server\ClientInstFiles, /opt/trueconf/server/srv/clients/.

При получении новой версии клиент не выполняет проверку целостности или подлинности файла, полностью доверяя обновлению, предоставленному сервером. Это и создаёт возможность для эксплуатации уязвимости и распространения вредоносного кода.

Практика: подмена клиента и доставка C2 агента

Проверим на практике: для этого в качестве полезной нагрузки воспользуемся в качестве демонстрации агент удалённого управления Mythic (C2) — Apollo. Важно отметить, что в реальной атаке на этом этапе может использоваться любой исполняемый файл — от загрузчика до полноценного фреймворка постэксплуатации. В кампании TrueChaos применялся Havoc C2.

  Демонстрация 1. Подмена файлов клиентов на сервере.

 
 Демонстрация 1. Подмена файлов клиентов на сервере.

При следующем запуске клиента, пользователю будет предложено обновить программу на актуальную:

При нажатии кнопки «Загрузить» пользователь перенаправляется на страницу скачивания новой версии приложения.

На этом этапе пользователь получает исполняемый файл обновления и запускает его вручную.

С точки зрения пользователя процесс выглядит полностью легитимно: 

  • отображается уведомление об обновлении;

  • выполняется загрузка файла;

  • пользователь запускает установщик, предполагая его подлинность и доверенное происхождение, несмотря на возможность подмены содержимого.

 Демонстрация 2. Скачивание пользователем новой версии клиента приложения TrueConf.

 Демонстрация 2. Скачивание пользователем новой версии клиента приложения TrueConf.

Однако в этот момент может выполняться произвольный код, который запускается параллельно с легитимным процессом установки. Это позволяет маскировать вредоносную активность под штатное обновление.

В ряде случаев Microsoft SmartScreen может предупреждать о том, что файл не имеет действительной цифровой подписи, и запрашивать подтверждение запуска.

После подтверждения запуска может появляться окно cmd.exe, за которым следует нетипичная последовательность процессов.

Анализ цепочки процессов

Процесс trueconf_windows_update.exe представляет собой загруженную полезную нагрузку. При этом метаданные исполняемого файла также могут быть изменены, что затрудняет его идентификацию. Дочерний процесc conhost.exe в данном случае используется агентом для выполнения команд, поступающих от сервера управления.

В процессе запуска клиента создается временный процесс который обычно выглядит так: trueconf_windows_client_x64_TC0IC9oIDEwLjE1MC41MC42OjQzMDcsMTkyLjE2OC41Ni4xOjQzMDcgL2xmICAvcyAzOTVi (1).exe. Он создает временный процесс с таким же названием, но с расширением tmp.

Цепочка процессов запуска клиента на стороне жертвы выглядит следующим образом:

explorer.exe (PID 10144)   
     ├── trueconf.exe (PID 18144)   
     │   └── trueconf_windows_update.exe (PID 20048)   
     │       └── conhost.exe (PID 21104)   
     │   
     └── trueconf_windows_client_x64_*.exe (PID 4264)   
         └── trueconf_windows_client_x64_*.tmp (PID 11292)

Процесс conhost.exe (PID 21104) в данном сценарии выступает как вспомогательный процесс консольного взаимодействия, используемый внедрённой полезной нагрузкой. В реальных условиях на этом этапе может выполняться любой другой процесс.

Вторая ветка процессов представляет собой временные объекты установщика клиента TrueConf и существует ограниченное время в рамках процедуры обновления, после чего удаляется или завершается.

Перейдя в консоль управления Mythic C2, можно наблюдать активные соединения от агента Apollo, развернутого на хосте жертвы вместо легитимного клиента TrueConf. В итоге хост уже скомпрометирован, а пользователь об этом даже не догадывается.

Анализ артефактов

После установки соединения в телеметрии хоста фиксируется цепочка сетевой активности.

В этом сценарии событие Sysmon EventID 22 фиксирует DNS-запросы, инициированные процессом trueconf_windows_update.exe.

Log Name:      Microsoft-Windows-Sysmon/OperationalSource:        Microsoft-Windows-SysmonDate:          2026-04-10 16:25:41Event ID:      22Task Category: Dns query (rule: DnsQuery)Level:         InformationUser:          SYSTEMComputer:      laba01.test.orgDescription:Dns query:RuleName:      -UtcTime:       2026-04-10 13:23:19.519ProcessGuid:   {1246d6be-fa53-69d8-3c10-090000008300}ProcessId:     13060QueryName:     zmxncbv019283.bizQueryStatus:   0QueryResults:  type: 1 ::ffff:103.149.82.47Image:         C:\Users\username\AppData\Local\Temp\4\trueconf_windows_update.exeUser:          TEST\username

На данном этапе происходит разрешение домена, используемого для подключения к инфраструктуре управления. Нужно обращать внимание на подозрительные запросы к доменам, которые не принадлежат развернутым в инфраструктуре серверам TrueConf или не они не относятся к публичным сервисам TrueConf (например, trueconf.name или trueconf.ru). Это хороший признак компрометации, при условии, что атакующем нужны подключения к своим сервисам для дальнейшего развития атаки, а не просто выполнить код произвольный. 

Sysmon/Operational — EventID 3 (NetworkConnect)

Событие Sysmon EventID 3 фиксирует исходящее сетевое соединение, инициированное процессом trueconf_windows_update.exe:

Также на хосте будут присутствовать сетевые подключения к серверу TrueConf Server, откуда был скачан установочный файл.

Log Name:      Microsoft-Windows-Sysmon/OperationalSource:        Microsoft-Windows-SysmonDate:          2026-04-10 15:16:27Event ID:      3Task Category: Network connection detected (rule: NetworkConnect)Level:         InformationUser:          SYSTEMComputer:      laba01.test.orgDescription:Network connection detected:RuleName:      -UtcTime:       2026-04-10 12:14:05.008ProcessGuid:   {1246d6be-ea0d-69d8-840d-090000008300}ProcessId:     6916Image:         C:\Program Files\TrueConf\Client\TrueConf.exeUser:          TEST\usernameProtocol:      tcpInitiated:     trueSourceIsIpv6:  falseSourceIp:      10.150.50.20SourceHostname:-SourcePort:    49569SourcePortName:-DestinationIsIpv6: falseDestinationIp: 10.150.50.6DestinationHostname:-DestinationPort: 4307DestinationPortName:-```

Сетевое соединение само по себе не является аномалией для обновляющего компонента. Ключевым фактором является не сам факт подключения, а контекст его установления: использование внешнего IP-адреса, не относящегося к инфраструктуре TrueConf, либо адреса с подозрительной репутацией, а также то, что инициатором соединения выступает процесс обновления.

Sysmon/Operational — EventID 7 (ImageLoad)

Sysmon EventID 7 позволяет отслеживать загрузку исполняемых модулей и анализировать их происхождение, включая информацию о цифровой подписи.

В сценарии установки клиента TrueConf этот тип событий помогает различать легитимные и потенциально подменённые бинарные файлы.

Log Name:      Microsoft-Windows-Sysmon/Operational         Source:        Microsoft-Windows-Sysmon         Date:          4/13/2026 9:21:19 AM         Event ID:      7         Task Category: Image loaded (rule: ImageLoad)         Level:         Information         Keywords:               User:          SYSTEM         Computer:      trueconf.test.org         Description:         Image loaded:         RuleName: -         UtcTime: 2026-04-13 06:21:17.701         ProcessGuid: {e05f87bf-8b5c-69dc-d54f-010000001e00}         ProcessId: 3120         Image: C:\Users\username\Downloads\trueconf_client_x64.exe         ImageLoaded: C:\Users\username\Downloads\trueconf_client_x64.exe         FileVersion: 8.5.3.884                    Description: TrueConf Setup                                                       Product: TrueConf                                                             Company: TrueConf                                                             OriginalFileName:                                                            Hashes: SHA1=88E6EEF506072E56B119E5C3448A0AF6D023C7DC,MD5=0C42A6328D3DD021ECFED3CDD96B47A8,SHA256=B744F8BFFAE7D5CA07ED5A981E86906630CBF826781A7AB5298BA84043C3FE9D,IMPHASH=E569E6F445D32BA23766AD67D1E3787F         Signed: true         Signature: trueconf llc         SignatureStatus: valid         User: TEST\username 

В нормальном сценарии загрузка установочного файла выглядит следующим образом:

  Image: C:\Users\username\Downloads\trueconf_client_x64.exe           Signed: true           Signature: TRUECONF LLC           SignatureStatus: Valid 

Модифицированный бинарный файл как раз таки такой подписи иметь не будет:

 Log Name:      Microsoft-Windows-Sysmon/Operational         Source:        Microsoft-Windows-Sysmon         Date:          4/10/2026 4:16:11 PM         Event ID:      7         Task Category: Image loaded (rule: ImageLoad)         Level:         Information         Keywords:               User:          SYSTEM         Computer:      laba01.test.org         Description:         Image loaded:         RuleName: -         UtcTime: 2026-04-10 13:16:11.532         ProcessGuid: {1246d6be-f81b-69d8-f30f-090000008300}         ProcessId: 11292         Image: C:\Users\username\Downloads\trueconf_windows_client_x64.exe         ImageLoaded: C:\Users\username\Downloads\trueconf_windows_client_x64.exe         FileVersion: 1.0.0.0         Description: Apollo         Product: Apollo                                                             Company: -                                                             OriginalFileName: Apollo.exe                                                           Hashes: SHA1=54BAB4FEFF6B0B9FA7B0B03523988703C40002E3,MD5=7AD3F0CCD2616E26F32C4871CE5F3A26,SHA256=E2AA85FF998858050C3A65D82ABE6C117E7B03A1F732378476D43DD5932B4A1B,IMPHASH=F34D5F2D4577ED6D9CEEC516C1F5A744         Signed: false         Signature: -         SignatureStatus: Unavailable         User: TEST\username 

Хотя структура имени и метаданные могут имитировать легитимный установщик, отсутствие цифровой подписи является ключевым отличием.

Событие Sysmon Event ID 7 можно использовать как быстрый ориентир доверенного происхождения бинарного файла, на который следует обратить внимание.  

Sysmon/Operational — EventID 11 (FileCreate)

Что касается действий на сервере TrueConf, то индикатором подмены установочных файлов является событие Sysmon EventID 11 фиксирующее создание новых файлов в файловой системе.

Log Name:      Microsoft-Windows-Sysmon/Operational         Source:        Microsoft-Windows-Sysmon         Date:          4/10/2026 3:45:31 PM         Event ID:      11         Task Category: File created (rule: FileCreate)         Level:         Information         Keywords:               User:          SYSTEM         Computer:      trueconf.test.org         Description:         File created:         RuleName: -         UtcTime: 2026-04-10 12:45:31.681         ProcessGuid: {e05f87bf-d211-69bb-c200-000000001e00}         ProcessId: 8892         Image: C:\Windows\Explorer.EXE         TargetFilename: C:\Program Files\TrueConf Server\ClientInstFiles\trueconf_windows_client_x64.exe         CreationUtcTime: 2026-04-10 12:45:40.401         User: TEST\username 

Также наряду с Sysmon, генерируется аналогичное событие EventID 4663 — An attempt was made to access an object  журнала Security фиксирующее доступ к файловому объекту:

Log Name:      SecuritySource:        Microsoft-Windows-Security-AuditingDate:          2026-04-15 10:04:27Event ID:      4663Task Category: Removable StorageLevel:         InformationKeywords:      Audit SuccessUser:          N/AComputer:      trueconf.test.orgDescription:An attempt was made to access an object.Subject:  Security ID:   TEST\username  Account Name:  username  Account Domain:TEST  Logon ID:      0xF9D52Object:  Object Server:      Security  Object Type:        File  Object Name:        C:\Program Files\TrueConf Server\ClientInstFiles\trueconf_client_x64.exe  Handle ID:          0x20cc  Resource Attributes:S:AI(RA;;;;;WD;("IMAGELOAD",TU,0x0,1))Process Information:  Process ID:   0x22bc  Process Name: C:\Windows\explorer.exeAccess Request Information:  Accesses: WriteData (or AddFile)

Обращаем внимание на тип операции, указанный в поле Accesses: WriteData (or AddFile) (маска доступа 0x2).

Данный тип доступа соответствует созданию или записи файла, что в контексте каталога ClientInstFiles может указывать на подмену или размещение установочного файла клиента.

В штатном режиме в каталоге ClientInstFiles появляются только легитимные установочные пакеты, загружаемые в рамках процесса обновления клиентов TrueConf.

Появление новых или изменённых файлов в этой директории может указывать на один из сценариев:

  • штатное обновление клиентского пакета

  • административное изменение установочных файлов

  • компрометация сервера и подмена дистрибутива

Ограничения детектирования и проблемы корреляции

При построении детекта важно учитывать ряд ограничений, которые напрямую влияют на качество корреляции и количество ложных/пропущенных срабатываний.

1. Манипуляции с именем файла и цепочкой создания

Если в директорию ClientInstFiles сначала помещается файл с произвольным именем (например, Apollo.exe), а затем переименовывается в ожидаемое (trueconf_windows_client_x64.exe), то Sysmon EventID 11 зафиксирует создание исходного файла, а не итогового имени.

Это снижает эффективность детектирования, основанного только на имени объекта, и требует либо:

  • мониторинга всех файлов в целевой директории,

  • либо более сложной корреляции с учётом жизненного цикла объекта.

При этом первый подход увеличивает уровень шумов и число ложных срабатываний в легитимных сценариях обновления.

2. Временной разрыв между подменой файлов и их запуском пользователем

Ключевое ограничение связано с тем, что события размещения файла на сервере (Sysmon EventID 11) и его последующего выполнения на клиентских системах (Sysmon EventID 7) могут быть разделены значительным временным интервалом.

Причины:

  • пользователь может игнорировать уведомление об обновлении;

  • сервер мог быть скомпрометирован задолго до появления первых клиентских запусков.

В результате выбор корректного окна корреляции становится нетривиальной задачей:

  • слишком короткое окно приводит к пропуску реальных инцидентов;

  • слишком длинное окно увеличивает вероятность ложных корреляций с легитимными изменениями и обновлениями и также дает нагрузку на коррелятор.

Правила детектирования в R-Vision SIEM

Для R-Vision SIEM целесообразно разделять логику на два независимых правила:

  • детект изменений в каталоге ClientInstFiles (Sysmon EventID 11 и Security EventID 4663) — как сигнал потенциальной компрометации сервера;

  • детект запуска неподписанных или подозрительных установщиков на клиентах (Sysmon EventID 7) — как индикатор фактической эксплуатации.

Такой подход учитывает случаи, когда установочный файл распространяется через сторонние каналы — например, через фишинг или ссылки на внешние ресурсы.

Заключение

Рассмотренный сценарий с TrueConf показывает, что доверенный механизм обновлений при компрометации сервера может использоваться как канал массового распространения вредоносного кода внутри инфраструктуры.

При этом выявление такой активности требует наблюдения сразу на двух уровнях — серверном и клиентском.

Ключевые индикаторы компрометации:

  • появление или изменение файлов в каталоге ClientInstFiles (Sysmon EventID 11);

  • запуск установочных файлов на клиентских системах с отсутствующей или некорректной цифровой подписью (Sysmon EventID 7);

  • сетевые соединения процессов обновления (trueconf_windows_update.exe) с внешними или нетипичными для инфраструктуры IP-адресами (Sysmon EventID 3);

  • DNS-запросы от процесса обновления к доменам, не относящимся к инфраструктуре TrueConf (Sysmon EventID 22).

Обновление безопасности

Описанная уязвимость уже была устранена вендором. По данным официальных security-обновлений TrueConf, проблема затрагивала предыдущие версии серверной и клиентской части и была исправлена в рамках обновлений 2026 года. Рекомендуется использовать актуальные версии продукта TrueConf Server (в частности, линейку 5.5.2/5.4.8/5.3.8 в зависимости от ветки).

Рекомендую использовать актуальные версии TrueConf и поддерживать инфраструктуру в состоянии регулярного обновления, чтобы исключить возможность эксплуатации уже известных уязвимостей.

ссылка на оригинал статьи https://habr.com/ru/articles/1026640/