CVE-2026-3502 no TrueConf: Como um Mecanismo de Atualização Confiável se Transformou em um Vetor de Ataque

Olá, pessoal do Habr! Sou Alina Bayramova, analista de pesquisa de ameaças de segurança cibernética da R-Vision.

Neste artigo, vou analisar uma vulnerabilidade zero-day no TrueConf Server (CVE-2026-3502) relacionada ao mecanismo de atualização e como ela pode ser usada para comprometer infraestruturas isoladas por meio de um canal confiável de distribuição de software.

Infraestruturas isoladas são frequentemente percebidas como sinônimo de um ambiente confiável. Isso é especialmente notável no setor público e em instalações de Infraestrutura Crítica (CII), onde os serviços internos são implantados em segmentos fechados e recebem o status de "seguros por padrão". No entanto, são esses componentes que costumam ser os mais interessantes do ponto de vista do modelo de ataque.

O TrueConf Server é um exemplo típico desse tipo de solução. É uma plataforma de videoconferência on-premise que opera dentro de uma LAN e é amplamente utilizada em redes sem acesso direto à Internet. Nessas condições, ela se torna parte do contorno confiável, e os mecanismos de interação com ela raramente são submetidos a validação adicional.

Em 31 de março de 2026, a Check Point Research descobriu uma vulnerabilidade zero-day no aplicativo cliente TrueConf (CVE-2026-3502, CVSS 7.8). O problema está relacionado ao mecanismo de verificação de atualizações e, sob certas condições, permite que um invasor com controle sobre um servidor TrueConf local distribua e execute arquivos arbitrários em clientes conectados.

O ponto-chave é que a exploração não requer sair do perímetro. Basta comprometer o servidor dentro da rede. Nesse caso, o mecanismo de atualização realmente se transforma em um canal confiável de entrega de código.

Essa abordagem foi usada na operação TrueChaos, que visava organizações governamentais no Sudeste Asiático. Os invasores abusaram do mecanismo de atualização para distribuir malware, confiando na ausência de uma verificação estrita da autenticidade das atualizações.

Como resultado, um serviço interno confiável se torna um ponto de comprometimento em larga escala da infraestrutura.

Superfície de Ataque

Após uma pesquisa por "trueconf server" no Shodan, foram detectados cerca de 560 hosts disponíveis, dos quais 263 estão localizados na Rússia.

Ao mesmo tempo, deve-se ter em mente que a escala real de uso pode ser maior. Parte dos servidores é implantada em segmentos totalmente isolados e inacessíveis à varredura externa.

Nessas condições, o comprometimento de um servidor pode levar à distribuição de código malicioso em todos os dispositivos cliente conectados. Abaixo está um cenário típico de exploração da vulnerabilidade, registrado na operação TrueChaos.

Cenário de Exploração

1. O invasor obtém acesso ao servidor TrueConf.
2. Uma atualização maliciosa é colocada no servidor.
3. O usuário inicia o cliente TrueConf.
4. O cliente detecta uma nova versão e oferece uma atualização.
5. Um arquivo DLL malicioso é baixado junto com o arquivo executável legítimo.
6. Ocorre o carregamento da biblioteca substituída (DLL hijacking) e a execução do código malicioso.
7. O invasor se estabelece no sistema e pode realizar outras ações (reconhecimento, carregamento de ferramentas).

Como o Mecanismo de Atualização Funciona

Ao iniciar, o cliente TrueConf verifica a disponibilidade de atualizações no servidor conectado. Se a versão do cliente no servidor for superior à instalada, o usuário é solicitado a baixar a atualização no seguinte endereço:

https://{trueconf_server}/downloads/trueconf_client.exe

Os próprios arquivos de atualização são armazenados localmente no diretório do servidor TrueConf:

C:\Program Files\TrueConf Server\ClientInstFiles\

Assim, o servidor atua como uma fonte confiável de atualizações.

Na documentação do produto, o fornecedor indica que existe uma maneira de atualizar o cliente sem reinstalar o servidor. Abaixo está o processo de atualização manual do cliente.

Basta renomear o arquivo para o formato esperado, aumentar a versão do cliente e colocar os arquivos do cliente nos diretórios -

C:\Program Files\TrueConf Server\ClientInstFiles, /opt/trueconf/server/srv/clients/.

Ao receber uma nova versão, o cliente não verifica a integridade ou autenticidade do arquivo, confiando totalmente na atualização fornecida pelo servidor. Isso cria uma oportunidade para explorar a vulnerabilidade e distribuir código malicioso.

Prática: Substituição do Cliente e Entrega do Agente C2

Vamos testar na prática: para isso, usaremos o agente de gerenciamento remoto Mythic (C2) - Apollo - como carga útil de demonstração. É importante notar que, em um ataque real, qualquer arquivo executável pode ser usado nesta fase - de um carregador a uma estrutura de pós-exploração completa. Na campanha TrueChaos, o Havoc C2 foi usado.

Demonstração 1. Substituição de arquivos de cliente no servidor.

Na próxima vez que o cliente for iniciado, o usuário será solicitado a atualizar o programa para a versão atual:

Ao clicar no botão "Baixar", o usuário é redirecionado para a página de download da nova versão do aplicativo.

Nessa fase, o usuário recebe o arquivo executável da atualização e o executa manualmente.

Do ponto de vista do usuário, o processo parece totalmente legítimo:

• Uma notificação de atualização é exibida;
• O download do arquivo é executado;
• O usuário inicia o instalador, assumindo sua autenticidade e origem confiável, apesar da possibilidade de substituição do conteúdo.

Demonstração 2. Download da nova versão do cliente do aplicativo TrueConf pelo usuário.

No entanto, neste momento, código arbitrário pode ser executado, que é iniciado em paralelo com o processo de instalação legítimo. Isso permite mascarar a atividade maliciosa como uma atualização padrão.

Em alguns casos, o Microsoft SmartScreen pode avisar que o arquivo não possui uma assinatura digital válida e solicitar confirmação para iniciá-lo.

Após confirmar o lançamento, uma janela cmd.exe pode aparecer, seguida por uma sequência incomum de processos.

Análise da Cadeia de Processos

O processo trueconf_windows_update.exe é a carga útil carregada. Ao mesmo tempo, os metadados do arquivo executável também podem ser alterados, o que dificulta sua identificação. Neste caso, o processo filho conhost.exe é usado pelo agente para executar comandos do servidor de gerenciamento.

No processo de inicialização do cliente, um processo temporário é criado, que geralmente se parece com:

trueconf_windows_client_x64_TC0IC9o IDEwLjE1MC41MC42OjQzMDcsMTkyLjE2OC41Ni4xOjQzMDcgL2xmICAvcyAzOTVi (1).exe.

Ele cria um processo temporário com o mesmo nome, mas com a extensão .tmp.

A cadeia de processos de inicialização do cliente no lado da vítima é a seguinte:

explorer.exe (PID 10144)

├── trueconf.exe (PID 18144)

│ └── trueconf_windows_update.exe (PID 20048)

│ └── conhost.exe (PID 21104)

│

└── trueconf_windows_client_x64_*.exe (PID 4264)

└── trueconf_windows_client_x64_*.tmp (PID 11292)

O processo conhost.exe (PID 21104) neste cenário atua como um processo auxiliar de interação de console, usado pela carga útil incorporada. Em condições reais, qualquer outro processo pode ser executado nesta fase.

A segunda ramificação dos processos são os objetos temporários do instalador do cliente TrueConf e existe por um tempo limitado como parte do procedimento de atualização, após o qual é excluído ou concluído.

Ao ir para o console de gerenciamento do Mythic C2, você pode observar conexões ativas do agente Apollo, implantado no host da vítima em vez do cliente TrueConf legítimo. Como resultado, o host já está comprometido, e o usuário nem sequer suspeita disso.

Análise de Artefatos

Após estabelecer uma conexão, uma cadeia de atividade de rede é registrada na telemetria do host.

Nesse cenário, o evento Sysmon EventID 22 registra as consultas DNS iniciadas pelo processo trueconf_windows_update.exe.

Log Name:      Microsoft-Windows-Sysmon/Operational
Source:        Microsoft-Windows-Sysmon
Date:          2026-04-10 16:25:41
Event ID:      22
Task Category: Dns query (rule: DnsQuery)
Level:         Information
User:          SYSTEM
Computer:      laba01.test.org

Description:
Dns query:

RuleName:      -
UtcTime:       2026-04-10 13:23:19.519
ProcessGuid:   {1246d6be-fa53-69d8-3c10-090000008300}
ProcessId:     13060
QueryName:     zmxncbv019283.biz
QueryStatus:   0
QueryResults:  type: 1 ::ffff:103.149.82.47
Image:         C:\Users\username\AppData\Local\Temp\4\trueconf_windows_update.exe
User:          TEST\username

Nesta fase, o domínio usado para se conectar à infraestrutura de gerenciamento é resolvido. É necessário prestar atenção a solicitações suspeitas a domínios que não pertencem aos servidores TrueConf implantados na infraestrutura ou não se referem aos serviços públicos TrueConf (por exemplo, trueconf.name ou trueconf.ru). Este é um bom sinal de comprometimento, desde que o invasor precise de conexões com seus serviços para desenvolver ainda mais o ataque, e não apenas executar código arbitrário.

Sysmon/Operational - EventID 3 (NetworkConnect)

O evento Sysmon EventID 3 registra uma conexão de rede de saída iniciada pelo processo trueconf_windows_update.exe:

Log Name:      Microsoft-Windows-Sysmon/Operational
Source:        Microsoft-Windows-Sysmon
Date:          2026-04-10 15:16:27
Event ID:      3
Task Category: Network connection detected (rule: NetworkConnect)
Level:         Information
User:          SYSTEM
Computer:      laba01.test.org

Description:
Network connection detected:

RuleName:      -
UtcTime:       2026-04-10 12:14:05.008
ProcessGuid:   {1246d6be-ea0d-69d8-840d-090000008300}
ProcessId:     6916
Image:         C:\Program Files\TrueConf\Client\TrueConf.exe
User:          TEST\username
Protocol:      tcp
Initiated:     true
SourceIsIpv6:  false
SourceIp:      10.150.50.20
SourceHostname:-
SourcePort:    49569
SourcePortName:-
DestinationIsIpv6: false
DestinationIp: 10.150.50.6
DestinationHostname:-
DestinationPort: 4307
DestinationPortName:-

A conexão de rede em si não é uma anomalia para o componente de atualização. O fator-chave não é o próprio fato da conexão, mas o contexto de seu estabelecimento: o uso de um endereço IP externo que não pertence à infraestrutura TrueConf, ou um endereço com uma reputação suspeita, bem como o fato de que o iniciador da conexão é o processo de atualização.

Sysmon/Operational - EventID 7 (ImageLoad)

O Sysmon EventID 7 permite rastrear o carregamento de módulos executáveis e analisar sua origem, incluindo informações sobre a assinatura digital.

No cenário de instalação do cliente TrueConf, esse tipo de evento ajuda a distinguir arquivos binários legítimos e potencialmente substituídos.

Log Name:      Microsoft-Windows-Sysmon/Operational
Source:        Microsoft-Windows-Sysmon
Date:          4/13/2026 9:21:19 AM
Event ID:      7
Task Category: Image loaded (rule: ImageLoad)
Level:         Information
Keywords:          
User:          SYSTEM
Computer:      trueconf.test.org
Description:      
Image loaded:      
RuleName: -
UtcTime: 2026-04-13 06:21:17.701
ProcessGuid: {e05f87bf-8b5c-69dc-d54f-010000001e00}
ProcessId: 3120
Image: C:\Users\username\Downloads\trueconf_client_x64.exe
ImageLoaded: C:\Users\username\Downloads\trueconf_client_x64.exe
FileVersion: 8.5.3.884
Description: TrueConf Setup
Product: TrueConf
Company: TrueConf
OriginalFileName:      
Hashes: SHA1=88E6EEF506072E56B119E5C3448A0AF6D023C7DC,MD5=0C42A6328D3DD021ECFED3CDD96B47A8,SHA256=B744F8BFFAE7D5CA07ED5A981E86906630CBF826781A7AB5298BA84043C3FE9D,IMPHASH=E569E6F445D32BA23766AD67D1E3787F
Signed: true
Signature: trueconf llc
SignatureStatus: valid
User: TEST\username

No cenário normal, o download do arquivo de instalação se parece com o seguinte:

Image: C:\Users\username\Downloads\trueconf_client_x64.exe

Signed: true

Signature: TRUECONF LLC

SignatureStatus: Valid

Um arquivo binário modificado não terá essa assinatura:

Log Name:      Microsoft-Windows-Sysmon/Operational
Source:        Microsoft-Windows-Sysmon
Date:          4/10/2026 4:16:11 PM
Event ID:      7
Task Category: Image loaded (rule: ImageLoad)
Level:         Information
Keywords:          
User:          SYSTEM
Computer:      laba01.test.org
Description:      
Image loaded:      
RuleName: -
UtcTime: 2026-04-10 13:16:11.532
ProcessGuid: {1246d6be-f81b-69d8-f30f-090000008300}
ProcessId: 11292
Image: C:\Users\username\Downloads\trueconf_windows_client_x64.exe
ImageLoaded: C:\Users\username\Downloads\trueconf_windows_client_x64.exe
FileVersion: 1.0.0.0
Description: Apollo
Product: Apollo
Company: -
OriginalFileName: Apollo.exe
Hashes: SHA1=54BAB4FEFF6B0B9FA7B0B03523988703C40002E3,MD5=7AD3F0CCD2616E26F32C4871CE5F3A26,SHA256=E2AA85FF998858050C3A65D82ABE6C117E7B03A1F732378476D43DD5932B4A1B,IMPHASH=F34D5F2D4577ED6D9CEEC516C1F5A744
Signed: false
Signature: -
SignatureStatus: Unavailable
User: TEST\username

Embora a estrutura do nome e os metadados possam imitar o instalador legítimo, a ausência de uma assinatura digital é a principal diferença.

O evento Sysmon Event ID 7 pode ser usado como um guia rápido da origem confiável do arquivo binário, ao qual você deve prestar atenção.

Sysmon/Operational - EventID 11 (FileCreate)

Quanto às ações no servidor TrueConf, o indicador de substituição de arquivos de instalação é o evento Sysmon EventID 11 registrando a criação de novos arquivos no sistema de arquivos.

Log Name:      Microsoft-Windows-Sysmon/Operational
Source:        Microsoft-Windows-Sysmon
Date:          4/10/2026 3:45:31 PM
Event ID:      11
Task Category: File created (rule: FileCreate)
Level:         Information
Keywords:          
User:          SYSTEM
Computer:      trueconf.test.org
Description:      
File created:      
RuleName: -
UtcTime: 2026-04-10 12:45:31.681
ProcessGuid: {e05f87bf-d211-69bb-c200-000000001e00}
ProcessId: 8892
Image: C:\Windows\Explorer.EXE
TargetFilename: C:\Program Files\TrueConf Server\ClientInstFiles\trueconf_windows_client_x64.exe
CreationUtcTime: 2026-04-10 12:45:40.401
User: TEST\username

Além disso, juntamente com o Sysmon, um evento semelhante é gerado EventID 4663 - An attempt was made to access an object do log de segurança registrando o acesso a um objeto de arquivo:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          2026-04-15 10:04:27
Event ID:      4663
Task Category: Removable Storage
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      trueconf.test.org

Description:
An attempt was made to access an object.

Subject:
  Security ID:   TEST\username
  Account Name:  username
  Account Domain:TEST
  Logon ID:      0xF9D52

Object:
  Object Server:      Security
  Object Type:        File
  Object Name:        C:\Program Files\TrueConf Server\ClientInstFiles\trueconf_client_x64.exe
  Handle ID:          0x20cc
  Resource Attributes:S:AI(RA;;;;;WD;("IMAGELOAD",TU,0x0,1))

Process Information:
  Process ID:   0x22bc
  Process Name: C:\Windows\explorer.exe

Access Request Information:
  Accesses: WriteData (or AddFile)

Preste atenção ao tipo de operação especificado no campo Accesses: WriteData (or AddFile) (máscara de acesso 0x2).

Este tipo de acesso corresponde à criação ou gravação de um arquivo, que, no contexto do diretório ClientInstFiles, pode indicar a substituição ou colocação do arquivo de instalação do cliente.

No modo normal, apenas pacotes de instalação legítimos, baixados como parte do processo de atualização do cliente TrueConf, aparecem no diretório ClientInstFiles.

Aparecer de arquivos novos ou alterados neste diretório pode indicar um dos cenários:

• Atualização padrão do pacote do cliente
• Alteração administrativa dos arquivos de instalação
• Comprometimento do servidor e substituição da distribuição

Limitações de Detecção e Problemas de Correlação

Ao construir a detecção, é importante considerar uma série de limitações que afetam diretamente a qualidade da correlação e o número de falsos/falsos positivos.

1. Manipulações com o nome do arquivo e a cadeia de criação

Se um arquivo com um nome arbitrário (por exemplo, Apollo.exe) for colocado primeiro no diretório ClientInstFiles e, em seguida, renomeado para o esperado (trueconf_windows_client_x64.exe), o Sysmon EventID 11 registrará a criação do arquivo original, e não o nome final.

Isso reduz a eficácia da detecção baseada apenas no nome do objeto e requer:

• monitoramento de todos os arquivos no diretório de destino,
• ou correlação mais complexa, levando em consideração o ciclo de vida do objeto.

Ao mesmo tempo, a primeira abordagem aumenta o nível de ruído e o número de falsos positivos em cenários de atualização legítimos.

1. Lacuna de tempo entre a substituição de arquivos e sua execução pelo usuário

A principal limitação está relacionada ao fato de que os eventos de colocação de um arquivo no servidor (Sysmon EventID 11) e sua execução subsequente em sistemas cliente (Sysmon EventID 7) podem ser separados por um intervalo de tempo significativo.

Razões:

• o usuário pode ignorar a notificação de atualização;
• o servidor pode ter sido comprometido muito antes do aparecimento dos primeiros lançamentos do cliente.

Como resultado, a escolha da janela de correlação correta se torna uma tarefa não trivial:

• uma janela muito curta leva à omissão de incidentes reais;
• uma janela muito longa aumenta a probabilidade de falsas correlações com alterações e atualizações legítimas e também coloca uma carga no correlacionador.

Regras de Detecção no R-Vision SIEM

Para o R-Vision SIEM, é aconselhável dividir a lógica em duas regras independentes:

• detecção de alterações no diretório ClientInstFiles (Sysmon EventID 11 e Security EventID 4663) - como um sinal de possível comprometimento do servidor;
• detecção do lançamento de instaladores não assinados ou suspeitos em clientes (Sysmon EventID 7) - como um indicador de exploração real.

Essa abordagem leva em consideração os casos em que o arquivo de instalação é distribuído por meio de canais de terceiros - por exemplo, por meio de phishing ou links para recursos externos.

Conclusão

O cenário TrueConf considerado mostra que um mecanismo de atualização confiável, quando o servidor é comprometido, pode ser usado como um canal para a distribuição em massa de código malicioso dentro da infraestrutura.

Ao mesmo tempo, a detecção de tal atividade requer observação em dois níveis - servidor e cliente.

Indicadores-chave de comprometimento:

• a aparência ou alteração de arquivos no diretório ClientInstFiles (Sysmon EventID 11);
• o lançamento de arquivos de instalação em sistemas cliente com uma assinatura digital ausente ou incorreta (Sysmon EventID 7);
• conexões de rede de processos de atualização (trueconf_windows_update.exe) com endereços IP externos ou atípicos para a infraestrutura (Sysmon EventID 3);
• Consultas DNS do processo de atualização para domínios que não pertencem à infraestrutura TrueConf (Sysmon EventID 22).

Atualização de Segurança

A vulnerabilidade descrita já foi corrigida pelo fornecedor. De acordo com as atualizações de segurança oficiais do TrueConf, o problema afetou as versões anteriores da parte do servidor e do cliente e foi corrigido como parte das atualizações de 2026. Recomenda-se o uso das versões atuais do produto TrueConf Server (em particular, as linhas 5.5.2/5.4.8/5.3.8, dependendo do branch).

Recomendo o uso das versões atuais do TrueConf e a manutenção da infraestrutura em um estado de atualização regular para excluir a possibilidade de explorar vulnerabilidades já conhecidas.