**TrueConf**-Benutzer, insbesondere in den Sektoren Regierung und kritische Infrastruktur, werden dringend aufgefordert, ihre Software sofort zu aktualisieren, um eine kritische Sicherheitslücke zu beheben. Die Schwachstelle, **CVE-2026-3502**, beruht auf einer fehlenden Integritätsprüfung im Mechanismus für Software-Updates, die es Angreifern ermöglicht, bösartige Updates einzuschleusen. ### Details zum Zero-Day Die Schwachstelle von mittlerer Schwere betrifft **TrueConf**-Versionen 8.1.0 bis 8.5.2. Durch die Übernahme der Kontrolle über einen lokalen **TrueConf**-Server kann ein Angreifer das erwartete Update-Paket durch eine bösartige ausführbare Datei ersetzen, die dann an alle verbundenen Clients verteilt wird. Dies ermöglicht die Ausführung beliebigen Codes auf den betroffenen Systemen. ### Gezielte Angriffe: Operation 'TrueChaos' Forscher von **Check Point** verfolgen seit Jahresbeginn eine Kampagne namens 'TrueChaos', die **CVE-2026-3502** in Zero-Day-Angriffen ausnutzt. Die Hauptziele scheinen Regierungseinrichtungen in Südostasien zu sein. "Ein Angreifer, der die Kontrolle über den lokalen **TrueConf**-Server erlangt, kann das erwartete Update-Paket durch eine beliebige ausführbare Datei ersetzen, die als aktuelle Anwendungsversion präsentiert wird, und diese an alle verbundenen Clients verteilen", heißt es in dem Bericht von **Check Point**. "Da der Client dem vom Server bereitgestellten Update ohne ordnungsgemäße Validierung vertraut, kann die bösartige Datei unter dem Deckmantel eines legitimen **TrueConf**-Updates geliefert und ausgeführt werden."  ### Zuschreibung und Taktiken **Check Point** schätzt mit moderater Zuversicht, dass die 'TrueChaos'-Aktivitäten aufgrund der beobachteten Taktiken, Techniken und Prozeduren (TTPs) mit einem chinesischen Bedrohungsakteur in Verbindung stehen. Die Angreifer nutzen **Alibaba Cloud** und **Tencent** für das Hosting ihrer Command-and-Control (C2)-Infrastruktur. Die Angriffe beinhalten die Kompromittierung eines zentral verwalteten **TrueConf**-Servers einer Regierung, um bösartige Dateien über gefälschte Updates an verbundene Clients zu verteilen. Die Infektionskette umfasst DLL-Sideloading, die Bereitstellung von Aufklärungswerkzeugen (tasklist, tracert), Privilegienerweiterung (UAC-Bypass über iscicpl.exe) und Persistenzmechanismen.  Obwohl die endgültige Payload noch nicht geborgen wurde, deuten Netzwerkverkehrsdaten auf die Verwendung des **Havoc** C2-Frameworks hin. **Havoc** ist ein Open-Source-C2-Framework, das in der Lage ist, Befehle auszuführen, Prozesse zu verwalten, Windows-Tokens zu manipulieren, Shellcode auszuführen und zusätzliche Payloads auf kompromittierten Systemen bereitzustellen. Es wurde zuvor mit dem chinesischen Bedrohungscluster 'Amaranth Dragon' in Verbindung gebracht. ### Abhilfemaßnahmen und Indikatoren für eine Kompromittierung (IoCs) **TrueConf** hat die Schwachstelle in Version 8.5.3, die im März 2026 veröffentlicht wurde, behoben. Benutzern wird dringend empfohlen, auf die neueste Version zu aktualisieren. Der Bericht von **Check Point** liefert Indikatoren für eine Kompromittierung (IoCs), um Organisationen bei der Erkennung potenzieller Infektionen zu helfen. Wichtige Indikatoren sind das Vorhandensein von *poweriso.exe* oder *7z-x64.dll* sowie verdächtige Artefakte wie *%AppData%\Roaming\Adobe\update.7z* oder *iscsiexe.dll*. <a rel="noopener sponsored" href="https://hubs.li/Q048zztN0"><img src="https://www.bleepstatic.com/c/p/picus-whitepaper.jpg" data-src="https://www.bleepstatic.com/c/p/picus-whitepaper.jpg" alt="tines"></a> ## <a rel="noopener sponsored" href="https://hubs.li/Q048zztN0">Automatisierte Pentests decken nur 1 von 6 Oberflächen ab.</a> Automatisierte Pentests beweisen, dass der Weg existiert. BAS beweist, ob Ihre Kontrollen ihn stoppen. Die meisten Teams führen das eine ohne das andere durch. Dieses Whitepaper kartiert sechs Validierungsoberflächen, zeigt, wo die Abdeckung endet, und bietet Praktikern drei Diagnosefragen für jede Tool-Bewertung.