CVE-2026-3502

Nome do Software Vulnerável e Versões Afetadas TrueConf versões 8.1.0 a 8.5.2

Descrição O TrueConf Client baixa o código de atualização do aplicativo e o aplica sem realizar a verificação de integridade ou autenticidade. Um invasor capaz de influenciar o caminho de entrega da atualização, como ao comprometer um servidor TrueConf local, pode substituir a carga útil da atualização por uma adulterada. Se essa carga útil for executada ou instalada pelo atualizador, isso pode resultar na execução de código arbitrário no contexto do processo de atualização ou do usuário.

Este problema foi explorado em uma campanha direcionada conhecida como "TrueChaos" contra dezenas de entidades governamentais no Sudeste Asiático, incluindo instituições de defesa e operadores de infraestrutura crítica. Os invasores substituíram pacotes de atualização legítimos por instaladores maliciosos para implantar o framework Havoc C2 e o ShadowPad para espionagem, reconhecimento e persistência de longo prazo. A exploração técnica envolveu o carregamento lateral de DLL (carregando a 7z-x64.dll maliciosa via executáveis legítimos), bypass de UAC (abusando do iscsicpl.exe via manipulação de PATH para carregar a iscsiexe.dll) e o uso do trueconf windows update.exe para distribuir a carga útil.

Recomendações Atualize os clientes e servidores TrueConf para a versão 8.5.3 ou posterior. Valide se os binários de atualização estão assinados digitalmente e correspondem aos checksums fornecidos pelo fornecedor. Isole e reforce a segurança dos servidores de atualização TrueConf locais, restrinja o acesso administrativo e implemente controles rigorosos de saída de rede. Ative o EDR para monitorar cadeias de processos suspeitas (ex: trueconf.exe -> trueconf windows update.exe -> trueconf windows update.tmp) e carregamento lateral de DLL. Bloqueie IPs de C2 maliciosos conhecidos: 43.134.90.60, 43.134.52.221 e 47.237.15.197. Rotacione as credenciais e implemente a autenticação de múltiplos fatores (MFA) para contas de serviço.