Thought Leadership
Eine bisher unbekannte Schwachstelle in TrueConf hat Angreifern den Zugang zu sensiblen Behördennetzwerken ermöglicht. Die Lücke wurde über den Update-Mechanismus ausgenutzt, ohne dass Phishing oder Internetzugang nötig waren. Experten warnen vor der wachsenden Bedeutung von Zero-Trust-Prinzipien.
Zero Day in sicherer Videokonferenzsoftware
Sicherheitsforscher von Check Point Research haben eine bislang unbekannte Zero Day-Sicherheitslücke in der Videokonferenzsoftware TrueConf entdeckt. Durch die Schwachstelle (CVE-2026-3502) konnten Angreifer Malware in mehrere Regierungsbehörden in Südostasien einschleusen. Besonders auffällig: Die Täter mussten weder auf Phishing noch auf Internet-Exploits zurückgreifen, sondern nutzten die Vertrauenswürdigkeit lokaler Software-Updates.
TrueConf ist eine Software speziell für sichere Kommunikation in souveränen und sogar luftisolierten Umgebungen. Die Plattform wird von Regierungen, Verteidigungsorganisationen und kritischen Infrastrukturen genutzt, um vertrauliche Gespräche ohne öffentliche Internetverbindungen zu führen.
Angriff über den Update-Mechanismus
Im Fokus der Kampagne stand der Windows-Client von TrueConf. Beim Start prüft dieser automatisch den verbundenen internen Server auf neue Versionen und fordert zur Installation auf. Check Point Research stellte fest, dass der Client die Authentizität der Update-Pakete nicht ausreichend überprüfte.
Dadurch konnten Angreifer ein bösartiges Installationspaket als legitimes Update tarnen. Beobachtet wurden Angriffe, bei denen ein zentral verwalteter TrueConf-Server einer staatlichen IT-Organisation kompromittiert wurde. Das manipulierte Update wurde automatisch an alle verbundenen Endgeräte verteilt.
Für Verteidiger war dies kaum erkennbar, da weder Phishing-E-Mails noch Internetzugang notwendig waren. Die Malware wurde innerhalb eines vertrauenswürdigen Workflows ausgeführt, was herkömmliche Sicherheitskontrollen vor erhebliche Herausforderungen stellte.
Cyberspionage statt Finanzkriminalität
Die Operation, die von Experten als „Operation TrueChaos“ bezeichnet wird, zielt auf langfristigen Zugriff und Informationsbeschaffung ab, nicht auf finanzielle Gewinne. Die Angriffe richteten sich gezielt gegen Regierungsstellen und regierungsnahe Organisationen.
Sergey Shykevich, Threat Intelligence Group Manager, kommentiert: „Unsere Untersuchung macht deutlich, dass das Konzept Vertrauen nun selbst zu einer Angriffsfläche geworden ist. Bei der Operation TrueChaos drangen Angreifer nicht von außen ein, sondern wurden durch einen vertrauenswürdigen Update-Mechanismus praktisch hereingebeten. Für Regierungen und Unternehmen ist die Botschaft klar: Zero-Trust-Prinzipien müssen über den Perimeter hinausgehen und auch die Software und Systeme umfassen, auf die wir uns am meisten verlassen.“
Lessons Learned und Patch
Check Point Research hat den Hersteller TrueConf informiert. In Reaktion darauf wurde ein Patch veröffentlicht, der im Windows-Client ab Version 8.5.3 enthalten ist. Die ältere Version 8.5.2 ist von der Schwachstelle betroffen.
Die Operation TrueChaos zeigt deutlich, dass auch luftisolierte oder lokal verwaltete Systeme nicht automatisch sicher sind. Vertrauenswürdige Update-Mechanismen können zu Angriffspunkten werden, und Zero Day-Schwachstellen bleiben eine erhebliche Bedrohung für kritische Infrastrukturen.
Weitere Informationen finden Sie hier.
(vp/Check Point Software Technologies Ltd.)
