Einführung
X-VPN hat kürzlich einen Bericht erhalten, der ein DLL-Sideloading-Szenario im Windows-Client beschreibt, das nur für manipulierte, neu verpackte Kopien gilt, die aus inoffiziellen Quellen bezogen wurden, nicht für Benutzer, die X-VPN von unserer offiziellen Windows-Download-Seite oder dem Microsoft Store heruntergeladen haben. Basierend auf unserer eigenen Untersuchung haben wir keine Beweise gefunden, dass X-VPN-Benutzer durch dieses Szenario gezielt angegriffen oder kompromittiert wurden, und wir haben in X-VPN für Windows Version 77.5.3 Sicherheitsmaßnahmen implementiert. Alle Windows-Benutzer werden ermutigt, so bald wie möglich auf diese Version zu aktualisieren.
Im Sinne von Transparenz und Rechenschaftspflicht werden wir die Einzelheiten des Berichts, seinen tatsächlichen Umfang und die Maßnahmen, die wir ergriffen haben, mitteilen.
Table of Contents
Antwortzeitlinie
- 18. Mai 2026 — Das Howler Cell Threat Research Team bei Cyderes hat das Problem dem Sicherheitsteam von X-VPN gemeldet.
- 20. Mai 2026 — X-VPN bestätigte den Erhalt des Berichts und eskalierte das Problem zur internen Untersuchung und Behebung.
- 28. Mai 2026 — X-VPN hat Version 77.5.3 für Windows veröffentlicht, die die in dieser Erklärung beschriebenen Sicherheitsmaßnahmen umfasst.
Wesentliche Erkenntnisse
Basierend auf einer compliance-orientierten Überprüfung kamen wir zu den folgenden Schlussfolgerungen:
Der offizielle X-VPN Windows-Client ist sicher.
- Benutzer, die X-VPN von unserer offiziellen Windows-Downloadseite oder dem Microsoft Store heruntergeladen haben, sind von dem gemeldeten Szenario mit dem manipulierten Paket nicht betroffen. Der Angriff betrifft nur Benutzer, die eine manipulierte, neu verpackte Version von X-VPN verwenden, die aus inoffiziellen Quellen wie Phishing-Websites, Piratenforen oder unerwünschten Download-Links stammt.
Es wurden keine bestätigten Ausnutzungen von X-VPN in freier Wildbahn identifiziert.
- Basierend auf unserer eigenen unabhängigen Untersuchung haben wir keine Beweise dafür gefunden, dass X-VPN-Nutzer in diesem Szenario gezielt angegriffen oder kompromittiert wurden. Die berichtenden Forscher haben ebenfalls angegeben, dass ihre Ergebnisse aus der Bedrohungsanalyse und der Reverse Engineering der Infrastruktur des Angreifers abgeleitet wurden, und nicht aus beobachteten Opferfällen.
Dieser Bericht betrifft keinen Verstoß gegen die X-VPN-Server, die Infrastruktur oder die Verschlüsselung.
- Das Problem kann nicht aus der Ferne oder durch die normale Netzwerknutzung von X-VPN ausgelöst werden. Keine Benutzerdaten, Konten, Anmeldeinformationen oder VPN-Verkehr auf der Seite von X-VPN wurden kompromittiert.
Nicht anwendbar auf andere X-VPN-Plattformen.
- Dieser Bericht betrifft nur den Windows-Client. Die Clients von X-VPN auf anderen Plattformen, einschließlich iOS, Android, macOS, Linux, Chrome-Erweiterung, TV, Router, Chromebook und Spielkonsole, basieren auf völlig unterschiedlichen Architekturen, die kein Windows-DLL-Laden verwenden. Diese Plattformen sind von diesem Bericht nicht betroffen.
Zusätzliche Härtung wurde in X-VPN für die Windows-Version 77.5 bereitgestellt.3
- Während der offizielle X-VPN-Client von diesem Bericht nicht betroffen war, haben wir zusätzliche Schutzmaßnahmen zur Verteidigung in der Tiefe implementiert, um den Client gegen diese Art von Angriffen zu stärken. Diese Version ist jetzt verfügbar, und alle Windows-Benutzer werden aufgefordert, ein Update durchzuführen.
X-VPN hat diesen Bericht als ein Problem mit hoher Schwere eingestuft, nicht als kritisch.
- Die Klassifizierung spiegelt drei Faktoren wider: Das Problem kann nicht aus der Ferne oder durch die normale Nutzung von X-VPN ausgelöst werden; der offizielle X-VPN-Client ist von dem Angriffsweg nicht betroffen; und wir haben keine bestätigten Beweise für eine Ausnutzung in der Wildnis.
Das gemeldete Verhalten ist eine bekannte Klasse von Sicherheitsproblemen bei Windows-Anwendungen.
- Es kann in jeder Windows-Anwendung auftreten, die auf das standardmäßige DLL-Suchverhalten angewiesen ist, und die Behebung erfordert die Anwendung strengerer DLL-Ladepolitik, die X-VPN jetzt in Version 77.5.3 implementiert hat.
Was wurde berichtet
Verstehen von DLLs
Um zu verstehen, was berichtet wurde, ist es hilfreich, zunächst zu verstehen, wie Windows-Programme funktionieren und die Definition von DLLs.
Ein Windows-Programm besteht selten aus einer einzelnen Datei. Es besteht typischerweise aus einer Hauptanwendung (der .exe-Datei, die Benutzer doppelklicken) sowie vielen unterstützenden Modulen, die DLLs (Dynamic Link Libraries) genannt werden.
Diese DLLs stammen aus zwei Quellen:
- 1Anwendungs-DLLs:Geschrieben und versendet vom Softwarehersteller. Diese werden im Ordner des Programms gespeichert, neben der Haupt-.exe-Datei.
- 2System DLLs:Bereitgestellt von Windows selbst, gespeichert im Windows-Systemordner.
CRYPTBASE.dllist eines davon, das von unzähligen Windows-Anwendungen verwendet wird.
Wie Windows eine DLL findet, wenn ein Programm eine benötigt
Wenn ein Programm eine DLL nach Namen laden muss, sucht Windows sie in folgender Reihenfolge (vereinfacht zur besseren Lesbarkeit):
Eine kleine geschützte Liste, die von Windows selbst verwaltet wird, wird KnownDLLs genannt.
Der Programmordner
Der Windows-Systemordner
Die CRYPTBASE.dll ist eine System-DLL, befindet sich jedoch nicht auf der KnownDLLs-Liste. Das bedeutet, dass Windows, wenn ein Programm danach fragt, zuerst im Programmordner nachsehen wird und nur dann in den Systemordner wechselt, wenn keine Datei mit diesem Namen gefunden wird.
Dieses Suchverhalten ist seit Jahrzehnten Teil von Windows und jede Windows-Anwendung, Chrome, Microsoft Office, Steam, Notepad++, X-VPN und praktisch jedes andere Programm auf der Plattform funktioniert danach.
Das Angriffsszenario im Bericht
Der Bericht beschreibt eine Möglichkeit, das oben erwähnte Lookup-Verhalten auszunutzen, um bösartigen Code im Kontext von X-VPN auszuführen. Wichtig ist, dass dies nicht eine Schwachstelle im X-VPN-Client selbst angreift, sondern vollständig darauf beruht, den Benutzer zu täuschen, eine manipulierte, neu verpackte Version von X-VPN aus einer inoffiziellen Quelle auszuführen.
Der Angriff verläuft wie folgt:
- Ein Angreifer nimmt die legitimen X-VPN-Programmdaten von unserer offiziellen Website, platziert eine bösartige
CRYPTBASE.dllim Ordner und verpackt den gesamten Ordner zur Verteilung neu. - Der Angreifer verteilt dieses manipulierte Bundle über inoffizielle Kanäle, Phishing-Websites, Piratenforen, Dateiübertragungslinks oder unerwünschte Nachrichten, oft getarnt als „tragbare“ Version von X-VPN.
- Ein Benutzer wird in die Irre geführt, indem er dieses manipulierte Paket herunterlädt und ausführt.
- Wenn die gebündelte .exe gestartet wird und beginnt, ihre DLLs zu laden, fordert eine dieser DLLs schließlich
CRYPTBASE.dllnamentlich an. Nach dem oben beschriebenen Suchprozess findet Windows die vom Angreifer platzierte Datei im Programmordner und lädt sie. Der Code des Angreifers wird innerhalb der Benutzersitzung ausgeführt.
Diese gesamte Kette hängt davon ab, dass der Benutzer zuerst eine manipulierte Kopie von X-VPN ausführt. Für Benutzer, die X-VPN aus offiziellen Quellen installiert haben:
- Der offizielle X-VPN-Installer enthält nur legale, signierte Dateien, während einer echten Installation werden niemals bösartige DLLs im Installationsordner platziert.
- Nach der Installation ist der X-VPN-Programmfolder durch Windows geschützt und erfordert Administratorrechte zur Modifikation, was verhindert, dass gewöhnliche Prozesse oder Benutzer später eine bösartige DLL hineinlegen.
Der Angriff nutzt einen Benutzer aus, der bereits dazu verleitet wurde, von einer nicht vertrauenswürdigen Quelle bereitgestellte Software auszuführen.
Wie dies mit X-VPN zusammenhängt
Dieser Bericht betrifft ein CWE-427 (Unkontrolliertes Suchpfadelement) Problem im X-VPN Windows-Client. Wie viele Windows-Anwendungen hat X-VPN zuvor keine strengen Pfad- oder Signaturprüfungen beim Laden bestimmter DLL-Abhängigkeiten durchgesetzt, was das zugrunde liegende Verhalten beschreibt, das von CWE-427 beschrieben wird. Wir haben dies in Version 77.5.3 durch strengere Richtlinien zum Laden von DLLs, Integritätsüberprüfungen zur Startzeit und gehärtete Verzeichnisberechtigungen behoben. Wie man diese Kategorie von Problemen klassifiziert und bewertet, ist ein Thema, das in der Sicherheitsgemeinschaft weiterhin diskutiert wird, einschließlich des aktuellen CVE-2025-56383 Berichts gegen Notepad++.
Was der Bericht beschreibt, ist in der Praxis eine Malware-Imitationskampagne, bei der X-VPN als erkennbare Marke verwendet wird, zusammen mit anderer legitimer Software, die auf ähnliche Weise vom selben Akteur umverpackt wird, um Opfer dazu zu verleiten, manipulierte Software auszuführen.
Betroffener Umfang
Ob es ein Benutzer betroffen ist, hängt ganz davon ab, woher seine Kopie von X-VPN stammt. Die folgende Tabelle fasst den Umfang zusammen:
Wie X-VPN Erworben Wurde | Betroffen? |
|---|---|
Heruntergeladen und installiert von der offiziellen X-VPN Windows-Downloadseite (https://xvpn.io/download/vpn-win) | ❌ Nicht betroffen |
Aus dem Microsoft Store heruntergeladen | ❌ Nicht betroffen |
Als „tragbare“ Version von einer Piratenseite oder einem unbekannten Link heruntergeladen | ⚠️ Möglicherweise betroffen |
Als Installer oder Paket von einem unbekannten Absender erhalten | ⚠️ Möglicherweise betroffen |
Wie wir es behoben haben
X-VPN hat umfassende Härtungsmaßnahmen in der Version 77.5.3 implementiert, um diese Art von DLL-Seitenladungsszenario im Windows-Client zu beheben. Diese Härtungsmaßnahmen sind jetzt in X-VPN für Windows Version 77.5.3 verfügbar. Unsere Härtungsmaßnahmen fallen in zwei Kategorien, die sich darauf beziehen, wie jeder Typ von DLL geladen wird.
1. Strengere Ladebedingungen für System-DLLs
System-DLLs wie CRYPTBASE.dll werden jetzt aus dem Windows-Systemordner geladen, unabhängig davon, welche Dateien im X-VPN-Programmordner vorhanden sind. Dies gilt für System-DLLs auf jeder Ebene der Lade-Kette. Daher ist der Client so konzipiert, dass er das Laden einer bösartigen DLL, die möglicherweise im X-VPN-Programmordner platziert wurde, anstelle der legitimen Systemdatei verhindert.
2. Mehrschichtiger Schutz für Anwendungs-DLLs
Die eigenen Anwendungs-DLLs von X-VPN müssen aus dem Programmordner geladen werden, sie sind kein Teil von Windows und haben kein Äquivalent im Systempfad. Wir haben drei unabhängige Verteidigungsschichten implementiert, um sicherzustellen, dass diese DLLs nicht ersetzt oder manipuliert werden können:
- Verzeichniszugriffssteuerungen. Der X-VPN-Installationsordner ist durch die Berechtigungen des Windows-Dateisystems geschützt, die Administratorrechte zum Ändern erfordern. Jeder Prozess, der versucht, eine DLL in diesen Ordner zu schreiben, ohne über erhöhte Rechte zu verfügen, wird vom Betriebssystem blockiert.
- Hash-Whitelist-Überprüfung beim Start. Jedes Mal, wenn X-VPN gestartet wird, scannt der Client rekursiv jede DLL in seinem Programmordner und verifiziert sie gegen eine bekannte gute Hash-Liste. Wenn eine DLL nicht auf der Whitelist steht oder wenn ihr Hash nicht mit dem erwarteten Wert übereinstimmt, verweigert der Client die Fortsetzung der Ausführung. Diese Hash-Liste ist direkt in die X-VPN-Executable kompiliert und wird nicht als separate Datei gespeichert, was bedeutet, dass sie nicht eigenständig manipuliert werden kann, ohne die signierte X-VPN-Binärdatei zu ändern, was die digitale Signatur ungültig machen würde.
- Strenge DLL-Lade-Richtlinien werden pro Prozess durchgesetzt. Jeder X-VPN-Prozess wendet beim Start gehärtete DLL-Lade-Regeln an, die einschränken, wo DLLs geladen werden können und welche Quellen als vertrauenswürdig gelten.
Zusammen helfen diese Maßnahmen sicherzustellen, dass das Platzieren einer bösartigen Datei im X-VPN-Programmordner von vornherein äußerst schwierig ist. Selbst in dem hypothetischen Szenario, in dem es einem Angreifer gelingt, dies zu tun, ist der Client so konzipiert, dass er die Manipulation erkennt und die Ausführung verweigert. Wir glauben, dass proaktive, mehrschichtige Verteidigungen implementiert werden sollten, um sowohl das spezifische Szenario, das in diesem Bericht beschrieben wird, zu adressieren als auch den X-VPN Windows-Client gegen ähnliche Angriffsarten umfassender zu stärken.
Was Benutzer tun sollten
Aktualisieren Sie auf X-VPN für Windows Version 77.5.3 oder höher.
Diese Version enthält die zusätzlichen Sicherheitsmaßnahmen, die in dieser Erklärung beschrieben sind. Sie können sie von unserer offiziellen Windows-Downloadseite herunterladen.
Laden Sie X-VPN immer nur von offiziellen Quellen herunter.
Bitte laden Sie X-VPN von unserer offiziellen Windows-Downloadseite, dem Microsoft Store oder dem offiziellen App-Store Ihrer Plattform herunter. Vermeiden Sie Download-Seiten von Drittanbietern, Dateiübertragungslinks oder Installer, die Sie per E-Mail oder Messaging-Apps erhalten haben.
Seien Sie vorsichtig mit „portablen“ oder „geknackten“ Versionen von X-VPN.
X-VPN verteilt offiziell keine tragbare Version unseres Windows-Clients. Jedes solche Paket, das online gefunden wird, sollte als nicht vertrauenswürdig betrachtet werden.
Wenn Sie vermuten, dass Sie X-VPN aus einer nicht offiziellen Quelle installiert haben könnten
Deinstallieren Sie es und installieren Sie die offizielle Version von der offiziellen Windows-Downloadseite neu.
Unser Engagement für Sicherheit
Wir danken dem Howler Cell Threat Research Team bei Cyderes, dass es uns diesen Bericht durch einen verantwortungsvollen Offenlegungsprozess zur Kenntnis gebracht hat. Die Analyse wurde von Reegun Jayapaul und Rahul Ramesh verfasst. Ihr Forschungsblog, der diese Offenlegung behandelt, ist jetzt verfügbar. Wir schätzen aufrichtig die Zeit und Mühe, die das Team in ihre Forschung investiert hat, und wir glauben, dass eine koordinierte Offenlegung dieser Art der gesamten Sicherheitsgemeinschaft zugutekommt.
X-VPN begrüßt Rückmeldungen von unabhängigen Sicherheitsforschern. Wenn Sie glauben, ein Sicherheitsproblem entdeckt zu haben, das ein Produkt von X-VPN betrifft, ermutigen wir Sie, Ihre Erkenntnisse über unser Bug-Bounty-Programm einzureichen, bei dem gültige und reproduzierbare Berichte für monetäre Belohnungen in Frage kommen, die uns helfen, die Sicherheit jedes X-VPN-Clients zu stärken. Bei Sicherheitsbedenken oder ungewöhnlichem Verhalten, das möglicherweise nicht in eine formale Schwachstelleneinreichung passt, können Sie auch direkt unser Sicherheitsteam unter security@xvpn.io kontaktieren. Alle Berichte werden von unserem Sicherheitsteam überprüft, und wir antworten so schnell wie möglich.
Sicherheit ist kein einmaliger Aufwand. Wir werden weiterhin in den Schutz unserer Nutzer investieren, durch fortlaufende Client-Härtung, transparente Kommunikation und aktive Zusammenarbeit mit der Forschungsgemeinschaft. Berichte wie dieser helfen uns, uns zu verbessern, und wir sind verpflichtet, jeden von ihnen mit der Offenheit und Ernsthaftigkeit zu behandeln, die sie verdienen.
Das Vertrauen, das unsere Nutzer in X-VPN setzen, nehmen wir ernst, und es zu verdienen, ist eine fortwährende Verantwortung, die wir begrüßen.
Häufig gestellte Fragen
Ist X-VPN jetzt sicher zu verwenden?
Ja. Der offizielle X-VPN Windows-Client, der von unserer Windows-Download-Seite oder dem Microsoft Store heruntergeladen wurde, ist sicher zu verwenden. Der Sicherheitsbericht beschreibt ein Szenario, in dem Angreifer X-VPN mit einer bösartigen DLL neu verpacken und die manipulierte Version über inoffizielle Kanäle verbreiten. Benutzer, die X-VPN aus unseren offiziellen Quellen installiert haben, sind von dem berichteten manipulierten Paket-Szenario nicht betroffen.
Wurde das Problem mit dem Side-Loading der X-VPN Windows DLL behoben?
Ja. X-VPN hat umfassende Sicherheitsmaßnahmen gegen DLL-Seitenladung und verwandte Angriffsarten eingeführt, beginnend mit X-VPN für Windows Version 77.5.3, die jetzt verfügbar ist. Dazu gehören strengere Lade Regeln für System-DLLs (wie CRYPTBASE.dll, die jetzt ausschließlich aus dem Windows-Systemverzeichnis geladen werden), eine Hash-Überprüfung der Startzeit für jede DLL im X-VPN-Installationsordner und strenge DLL-Lade Richtlinien, die auf Prozessebene durchgesetzt werden. Die für die Überprüfung verwendete Hash-Whitelist ist direkt in die X-VPN-executable eingebettet, sodass sie nicht unabhängig manipuliert werden kann.
Wurde meine X-VPN-Installation gehackt?
Ob es von Ihrer X-VPN-Installation betroffen ist, hängt von Ihrer Version und davon ab, wie Sie sie erhalten haben. Drei häufige Szenarien:
Szenario 1: Ausführung der Version 77.5.3 oder höher mit einer gültigen digitalen Signatur.
Nicht betroffen. Die Version 77.5.3 enthält Sicherheitsmaßnahmen, die diese Art von Angriff verhindern. Sie können Ihre Version innerhalb der App überprüfen und die Signatur der ausführbaren Datei bestätigen, indem Sie mit der rechten Maustaste auf die .exe → Eigenschaften → Digitale Signaturen klicken.
Szenario 2: Aus einer offiziellen Quelle heruntergeladen und im Standardverzeichnis installiert.
Nicht betroffen. Der Standardinstallationsordner erfordert Administratorrechte zur Modifikation, wodurch verhindert wird, dass gewöhnliche Prozesse eine bösartige DLL dort ablegen.
Szenario 3: Aus einer offiziellen Quelle heruntergeladen, aber eine Version vor 77.5.3 ausgeführt, in einem nicht standardmäßigen Verzeichnis installiert, mit anderer bösartiger Software auf dem Gerät.
Unter dieser Kombination ist es theoretisch möglich, dass andere bösartige Software eine manipulierte DLL in den X-VPN-Ordner platziert hat. Wir empfehlen dringend, auf die Version 77.5.3 oder höher zu aktualisieren, die diesen Pfad durch strengere Verzeichnisberechtigungen, DLL-Integritätsüberprüfung und prozessspezifische Ladepolitik schließt.
Wenn Sie sich nicht sicher sind, welches Szenario zutrifft, ist die sicherste Maßnahme, die neueste offizielle Version von xvpn.io/download/vpn-win zu deinstallieren und neu zu installieren.
Was ist CVE-2025-56383, und ist das Problem von X-VPN dasselbe?
CVE-2025-56383 ist ein Bericht über das DLL-Seitenladen gegen Notepad++, der von mehreren Parteien in der Sicherheitsgemeinschaft formell angefochten wurde. Der Streit drehte sich darum, wie diese Kategorie von Problemen klassifiziert und bewertet werden sollte, da die Ausnutzung erfordert, dass ein Angreifer zunächst eine bösartige Datei im Programmordner platziert – was in der Praxis bedeutet, dass der Benutzer typischerweise dazu verleitet wurde, manipulierte Software aus einer nicht vertrauenswürdigen Quelle auszuführen.
Der X-VPN-Bericht beschreibt dieselbe Klasse von Problemen: CWE-427 (Unkontrolliertes Suchpfadelement) spiegelt wider, dass X-VPN standardmäßig, wie viele Windows-Anwendungen, keine strengen Pfad- oder Signaturprüfungen beim Laden bestimmter DLL-Abhängigkeiten durchführte. Dies ist ein echtes Problem, das wir in Version 77.5.3 angegangen sind, die strenge Richtlinien für das Laden von DLLs, Integritätsüberprüfungen zur Startzeit und gehärtete Verzeichnisberechtigungen einführt, um sicherzustellen, dass DLL-Abhängigkeiten nur aus vertrauenswürdigen Quellen geladen werden. Anstatt uns darauf zu konzentrieren, wie das zugrunde liegende Problem in der Branche klassifiziert wird, haben wir es priorisiert, Schutzmaßnahmen zu liefern, die das Risiko für unsere Benutzer erheblich reduzieren.
Wie melde ich ein Sicherheitsproblem an X-VPN?
Sicherheitsforscher und Benutzer können Sicherheitsprobleme über zwei Kanäle an X-VPN melden:
– Für formelle Schwachstellenberichte, die für monetäre Belohnungen in Frage kommen: reichen Sie diese über unser Bug-Bounty-Programm ein.
– Für allgemeine Sicherheitsbedenken, verdächtiges Verhalten oder Fragen: senden Sie eine E-Mail an unser Sicherheitsteam unter security@xvpn.io
Alle Berichte werden von unserem Sicherheitsteam überprüft, und wir antworten so schnell wie möglich.
