Check Point Research (CPR) hat eine bisher unbekannte Zero-Day-Sicherheitslücke in der Videokonferenz-Software „TrueConf“ aufgedeckt. Wie die Sicherheitsforscher von Check Point Software Technologies herausfanden, konnten Angreifer vertrauenswürdige, lokal installierte Software-Updates missbrauchen. Sie verbreiteten so unbemerkt Malware in mehreren südostasiatischen Behörden und Regierungsapparaten. Die Täter mussten also weder auf Phishing, also den Diebstahl von Anmeldedaten, noch auf Exploits im öffentlichen Internet zurückgreifen.
Trueconf ist eine Software für vertrauliche Gespräche unter Regierungsorganisationen
Wichtig zu wissen ist, dass TrueConf keine Software für Endverbraucher ist. Sie wurde speziell für sichere, souveräne und sogar air-gapped Umgebungen entwickelt. Damit können Regierungen, Verteidigungsorganisationen und KRITIS-Betreiber kommunizieren, ohne auf das öffentliche Internet angewiesen zu sein. Diese Eigenschaften werden in der Regel als Sicherheitsvorteil angesehen. Bei der „Operation TrueChaos“ wurden sie jedoch zum Einstiegspunkt für den Angreifer.
Besonders bedeutsam an dieser Kampagne ist nicht nur die Entdeckung einer Zero-Day-Schwachstelle, sondern auch, wo und wie diese ausgenutzt wurde. Anstatt Server, Endgeräte oder Nutzer mit Internetanbindung von außen anzugreifen, zielten die Angreifer auf eine implizite Vertrauensbeziehung innerhalb sicherer Regierungs- und Unternehmensumgebungen ab: den Software-Update-Mechanismus einer weithin vertrauenswürdigen, lokal installierten Kollaborationsplattform.
Ausnutzung des Zero-Day-Exploits
Im Mittelpunkt der Kampagne steht eine Schwachstelle in der Update-Validierung des Trueconf-Windows-Clients. Beim Start prüft der Client automatisch den verbundenen internen Server auf neuere Versionen und fordert Benutzer zur Installation auf. Check Point Research stellte jedoch fest, dass der Client die Integrität oder Authentizität des Update-Pakets vor der Ausführung nicht ausreichend überprüfte.
Dadurch konnten die Angreifer, mit hinreichender Sicherheit ein chinesischer Bedrohungsakteur, bösartige ausführbare Dateien als legitime Software-Updates tarnen. Bei den beobachteten Angriffen kompromittierten sie einen zentral verwalteten TrueConf-Server einer staatlichen IT-Organisation, ersetzten ein legitimes Update durch ein manipuliertes Installationsprogramm und verteilten dieses automatisch an alle verbundenen Endgeräte in mehreren Regierungsbehörden.
Aus Sicht der Verteidiger war dieser Angriff äußerst schwer zu erkennen, da es weder Phishing-E-Mails noch bösartige URLs gab. Darüber hinaus wurden auch keine dem Internet ausgesetzten Systeme ausgenutzt und die Malware innerhalb eines vertrauenswürdigen, vom Benutzer genehmigten Workflows ausgeführt. Herkömmliche Sicherheitskontrollen hatten Schwierigkeiten, böswilliges Verhalten von legitimen Updates zu unterscheiden.
Aus strategischer Sicht entspricht die Kampagne eher den Zielen der Cyberspionage als denen der Finanzkriminalität. Die Angriffe richteten sich vor allem gegen Regierungsstellen und regierungsnahe Organisationen. Die eingesetzten Tools ermöglichten eher langfristigen Zugriff, Überwachung und Informationsbeschaffung als Störung oder Erpressung.
Die Operation TrueChaos verdeutlicht einen entscheidenden Wandel in der Branche: Sie zeigt, dass vertrauenswürdige interne Tools in großem Umfang missbraucht werden können und dass lokale und luftisolierte Umgebungen nicht von Natur aus immun sind. Software-Update-Mechanismen sind zu hochkarätigen Zielen geworden sind. Der Fall ist obendrein ein Beispiel dafür, wie gefährlich Zero Day-Schwachstellen sein können und verdeutlichen den Trend, dass derartige Attacken immer mehr an Lieferkettenangriffe erinnern, ohne dass jedoch Drittparteien kompromittiert werden müssen.
Sergey Shykevich, Threat Intelligence Group Manager, kommentiert: „Unsere Untersuchung macht deutlich, dass das Konzept Vertrauen nun selbst zu einer Angriffsfläche geworden ist. Bei der ´Operation TrueChaos´ drangen Angreifer nicht von außen ein, sondern wurden durch einen vertrauenswürdigen Update-Mechanismus praktisch hereingebeten. Für Regierungen und Unternehmen ist die Botschaft klar: Zero-Trust-Prinzipien müssen über den Perimeter hinausgehen und auch die Software und Systeme umfassen, auf die wir uns am meisten verlassen.“
Behebung und Offenlegung: Check Point Research hat den Hersteller verantwortungsbewusst darüber informiert, woraufhin dieser einen Patch veröffentlichte; der Patch ist im TrueConf-Windows-Client ab Version 8.5.3 enthalten, die im März 2026 veröffentlicht wurde. Die aktuelle Version der Desktop-Apps ist 8.5.2.
Weitere Informationen finden sich hier: https://blog.checkpoint.com/research/when-trusted-software-updates-become-the-attack-vector-inside-operation-truechaos-and-a-new-zero-day-vulnerability-in-a-popular-collaboration-tool/
#CheckPoint
