Les utilisateurs de **TrueConf**, en particulier ceux des secteurs gouvernemental et des infrastructures critiques, sont invités à mettre à jour leur logiciel immédiatement pour remédier à une faille de sécurité critique. La vulnérabilité, **CVE-2026-3502**, découle d'un manque de vérification d'intégrité dans le mécanisme de mise à jour logicielle, permettant aux attaquants de distribuer des mises à jour malveillantes. ### Détails de la faille Zero-Day La vulnérabilité de gravité moyenne affecte les versions **TrueConf** 8.1.0 à 8.5.2. En prenant le contrôle d'un serveur **TrueConf** sur site, un attaquant peut remplacer le package de mise à jour attendu par un exécutable malveillant, qui est ensuite distribué à tous les clients connectés. Cela permet l'exécution de code arbitraire sur les systèmes affectés. ### Attaques Ciblées : Opération 'TrueChaos' Les chercheurs de **Check Point** suivent une campagne baptisée 'TrueChaos' depuis le début de l'année, qui exploite **CVE-2026-3502** dans des attaques zero-day. Les cibles principales semblent être des entités gouvernementales en Asie du Sud-Est. « Un attaquant qui prend le contrôle du serveur **TrueConf** sur site peut remplacer le package de mise à jour attendu par un exécutable arbitraire, présenté comme la version actuelle de l'application, et le distribuer à tous les clients connectés », a déclaré **Check Point** dans son rapport. « Comme le client fait confiance à la mise à jour fournie par le serveur sans validation appropriée, le fichier malveillant peut être livré et exécuté sous couvert d'une mise à jour **TrueConf** légitime. »  ### Attribution et Tactiques **Check Point** estime avec une confiance modérée que l'activité 'TrueChaos' est liée à un acteur de menace d'origine chinoise, sur la base des tactiques, techniques et procédures (TTPs) observées. Les attaquants utilisent **Alibaba Cloud** et **Tencent** pour héberger leur infrastructure de commande et de contrôle (C2). Les attaques impliquent le compromis d'un serveur **TrueConf** gouvernemental géré de manière centralisée pour distribuer des fichiers malveillants via de fausses mises à jour aux clients connectés. La chaîne d'infection implique le chargement latéral de DLL, le déploiement d'outils de reconnaissance (tasklist, tracert), l'escalade de privilèges (contournement UAC via iscicpl.exe) et des mécanismes de persistance.  Bien que le payload final n'ait pas encore été récupéré, le trafic réseau suggère l'utilisation du framework C2 **Havoc**. **Havoc** est un framework C2 open-source capable d'exécuter des commandes, de gérer des processus, de manipuler des jetons Windows, d'exécuter du shellcode et de déployer des payloads supplémentaires sur les systèmes compromis. Il a été précédemment lié au cluster de menaces chinois 'Amaranth Dragon'. ### Atténuation et Indicateurs de Compromission (IoCs) **TrueConf** a corrigé la vulnérabilité dans la version 8.5.3, publiée en mars 2026. Il est fortement conseillé aux utilisateurs de mettre à jour vers la dernière version. Le rapport de **Check Point** fournit des indicateurs de compromission (IoCs) pour aider les organisations à détecter les infections potentielles. Les indicateurs clés comprennent la présence de *poweriso.exe* ou *7z-x64.dll*, et des artefacts suspects tels que *%AppData%\Roaming\Adobe\update.7z* ou *iscsiexe.dll*. <a rel="noopener sponsored" href="https://hubs.li/Q048zztN0"><img src="https://www.bleepstatic.com/c/p/picus-whitepaper.jpg" data-src="https://www.bleepstatic.com/c/p/picus-whitepaper.jpg" alt="tines"></a> ## <a rel="noopener sponsored" href="https://hubs.li/Q048zztN0">Le pentesting automatisé ne couvre qu'une surface sur 6.</a> Le pentesting automatisé prouve que le chemin existe. BAS prouve si vos contrôles l'arrêtent. La plupart des équipes font l'un sans l'autre. Ce livre blanc décrit six surfaces de validation, montre où la couverture s'arrête et fournit aux praticiens trois questions diagnostiques pour toute évaluation d'outil.