Introduzione
X-VPN ha recentemente ricevuto un rapporto che descrive uno scenario di sideloading di DLL nel client Windows che si applica solo a copie manomesse e ripackaggiate ottenute da fonti non ufficiali, non agli utenti che hanno scaricato X-VPN dalla nostra pagina di download ufficiale per Windows o dal Microsoft Store. Sulla base della nostra indagine, non abbiamo trovato prove che gli utenti di X-VPN siano stati presi di mira o compromessi attraverso questo scenario, e abbiamo implementato misure di indurimento in X-VPN per la versione 77.5.3 di Windows. Tutti gli utenti Windows sono incoraggiati ad aggiornare a questa versione il prima possibile.
Nello spirito di trasparenza e responsabilità, condivideremo i dettagli del rapporto, il suo reale ambito e le azioni che abbiamo intrapreso.
Table of Contents
Timeline di Risposta
- 18 maggio 2026 — Il team di ricerca sulle minacce delle celle Howler di Cyderes ha segnalato il problema al team di sicurezza di X-VPN.
- 20 maggio 2026 — X-VPN ha riconosciuto la ricezione del rapporto e ha escalato la questione per un’indagine interna e una risoluzione.
- 28 maggio 2026 — X-VPN ha rilasciato la versione 77.5.3 per Windows, che include le misure di rafforzamento descritte in questa dichiarazione.
Risultati chiave
Sulla base di una verifica incentrata sulla conformità, abbiamo raggiunto le seguenti conclusioni:
Il client ufficiale di X-VPN per Windows è sicuro.
- Gli utenti che hanno scaricato X-VPN dalla nostra pagina di download ufficiale per Windows o dal Microsoft Store non sono interessati dallo scenario del pacchetto manomesso segnalato. L’attacco si applica solo agli utenti che eseguono una versione manomessa e ripackaged di X-VPN ottenuta da fonti non ufficiali, come siti di phishing, forum pirata o link di download non richiesti.
Non è stata identificata alcuna sfruttamento confermato in natura di X-VPN.
- Sulla base della nostra indagine indipendente, non abbiamo trovato prove che gli utenti di X-VPN siano stati presi di mira o compromessi attraverso questo scenario. I ricercatori che hanno redatto il rapporto hanno altresì indicato che le loro scoperte derivano dall’analisi delle informazioni sulle minacce e dall’ingegneria inversa dell’infrastruttura dell’attaccante, piuttosto che da casi di vittime osservati.
Questo rapporto non coinvolge alcuna violazione dei server, dell’infrastruttura o della crittografia di X-VPN.
- Il problema non può essere attivato da remoto o attraverso l’uso normale della rete di X-VPN. Nessun dato utente, account, credenziali o traffico VPN dal lato di X-VPN è stato compromesso.
Non applicabile a nessun altro piattaforma X-VPN
- Questo rapporto riguarda solo il client Windows. I client di X-VPN su altre piattaforme, tra cui iOS, Android, macOS, Linux, Chrome Extension, TV, Router, Chromebook e Game Console, sono costruiti su architetture completamente diverse che non utilizzano il caricamento di DLL di Windows. Queste piattaforme non sono influenzate da questo rapporto.
È stata implementata un’ulteriore indurimento in X-VPN per la versione 77.5 di Windows.3
- Sebbene il client ufficiale di X-VPN non fosse a rischio a causa di questo rapporto, abbiamo implementato ulteriori protezioni di difesa in profondità per rafforzare il client contro questa categoria di attacco. Questa versione è ora disponibile e tutti gli utenti Windows sono invitati ad aggiornare.
X-VPN ha classificato questo rapporto come un problema di alta gravità, non critico.
- La classificazione riflette tre fattori: il problema non può essere attivato da remoto o attraverso l’uso normale di X-VPN; il client ufficiale di X-VPN non è influenzato dal percorso di attacco; e non abbiamo prove confermate di sfruttamento in natura.
Il comportamento segnalato è una classe nota di problemi di sicurezza delle applicazioni Windows.
- Può verificarsi in qualsiasi applicazione Windows che si basa sul comportamento di ricerca DLL predefinito, e affrontarlo richiede l’applicazione di politiche di caricamento DLL più rigorose, che X-VPN ha ora implementato nella versione 77.5.3.
Cosa è stato segnalato
Comprendere i DLL
Per comprendere ciò che è stato riportato, è utile prima capire come funzionano i programmi Windows e la definizione di DLL.
Un programma Windows è raramente un singolo file. Di solito consiste in un file eseguibile principale (il file .exe su cui gli utenti fanno doppio clic) insieme a molti moduli di supporto chiamati DLL (Dynamic Link Libraries).
Queste DLL provengono da due luoghi:
- 1DLL delle applicazioni:Scritto e spedito dal produttore del software. Questi sono memorizzati nella cartella del programma, insieme al file .exe principale.
- 2DLL di sistema:Fornito da Windows stesso, memorizzato nella cartella di sistema di Windows.
CRYPTBASE.dllè uno di questi, utilizzato da innumerevoli applicazioni Windows.
Come Windows trova un DLL quando un programma ne ha bisogno
Quando un programma deve caricare un DLL per nome, Windows lo cerca nel seguente ordine (semplificato per leggibilità):
Un piccolo elenco protetto mantenuto da Windows stesso, chiamato KnownDLLs.
La cartella del programma
La cartella di sistema di Windows
Il CRYPTBASE.dll è una DLL di sistema, ma non è presente nell’elenco KnownDLLs. Ciò significa che quando un programma la richiede per nome, Windows cercherà prima nella cartella del programma e passerà alla cartella di sistema solo se non viene trovato alcun file con quel nome.
Questo comportamento di ricerca fa parte di Windows per design da decenni, e ogni applicazione Windows, Chrome, Microsoft Office, Steam, Notepad++, X-VPN e praticamente ogni altro programma sulla piattaforma opera sotto di esso.
Lo scenario di attacco nel rapporto
La relazione descrive un modo in cui il comportamento di ricerca menzionato sopra può essere sfruttato per eseguire codice malevolo nel contesto di X-VPN. È importante notare che questo non mira a un difetto nel client X-VPN stesso, ma si basa interamente sull’ingannare l’utente per eseguire una versione manomessa e ripackaged di X-VPN da una fonte non ufficiale.
L’attacco procede come segue:
- Un attaccante prende i file del programma legittimo X-VPN dal nostro sito ufficiale, inserisce un
CRYPTBASE.dllmalevolo all’interno della cartella e ripacchetta l’intera cartella per la distribuzione. - L’attaccante distribuisce questo pacchetto manomesso attraverso canali non ufficiali, siti di phishing, forum di pirateria, link di condivisione di file o messaggi non richiesti, spesso travestito da una versione “portatile” di X-VPN.
- Un utente viene ingannato a scaricare e eseguire questo pacchetto manomesso.
- Quando il file .exe incluso viene avviato e inizia a caricare le sue DLL, una di queste DLL alla fine richiede
CRYPTBASE.dllper nome. Seguendo il processo di ricerca descritto sopra, Windows trova il file piantato dall’attaccante all’interno della cartella del programma e lo carica. Il codice dell’attaccante viene eseguito all’interno della sessione dell’utente.
Questa intera catena dipende dall’utente che esegue prima una copia manomessa di X-VPN. Per gli utenti che hanno installato X-VPN da fonti ufficiali:
- L’installer ufficiale di X-VPN contiene solo file legittimi e firmati, nessun DLL dannoso viene mai posizionato nella cartella di installazione durante un’installazione genuina.
- Dopo l’installazione, la cartella del programma X-VPN è protetta da Windows e richiede privilegi di amministratore per essere modificata, il che impedisce ai processi o agli utenti ordinari di inserire successivamente un DLL dannoso al suo interno.
L’attacco sfrutta un utente che è già stato ingannato nell’eseguire software fornito dall’attaccante da una fonte non affidabile.
Come Questo Si Relaziona a X-VPN
Questo rapporto riguarda un problema CWE-427 (Elemento del percorso di ricerca non controllato) nel client Windows di X-VPN. Come molte applicazioni Windows, X-VPN non applicava in precedenza controlli rigorosi sui percorsi o sulle firme durante il caricamento di alcune dipendenze DLL, che è il comportamento sottostante descritto da CWE-427. Abbiamo affrontato questo problema nella versione 77.5.3 attraverso politiche di caricamento DLL più rigorose, verifica dell’integrità all’avvio e permessi di directory rinforzati. Come classificare e valutare questa categoria di problemi è un argomento di dibattito in corso nella comunità della sicurezza, incluso il recente rapporto CVE-2025-56383 contro Notepad++.
Ciò che il rapporto descrive, in pratica, è una campagna di impersonificazione di malware in cui X-VPN viene utilizzato come un marchio riconoscibile, insieme ad altri software legittimi ripackaged in modi simili dallo stesso attore, per attirare le vittime a eseguire software manomesso.
Ambito interessato
Se un utente è colpito dipende interamente da dove è stata ottenuta la loro copia di X-VPN. La tabella sottostante riassume l’ambito:
Come è stato ottenuto X-VPN | Colpito? |
|---|---|
Scaricato e installato dalla pagina ufficiale di download di X-VPN per Windows (https://xvpn.io/download/vpn-win) | ❌ Non colpito |
Scaricato dal Microsoft Store | ❌ Non colpito |
Scaricato come versione “portatile” da un sito pirata o da un link sconosciuto. | ⚠️ Potenzialmente colpito |
Ricevuto come un installer o pacchetto da un mittente sconosciuto | ⚠️ Potenzialmente colpito |
Come l’abbiamo risolto
X-VPN ha implementato misure di indurimento complete nella versione 77.5.3 per affrontare questa classe di scenari di caricamento laterale di DLL nel client Windows. Queste misure di indurimento sono ora disponibili in X-VPN per Windows versione 77.5.3. Le nostre misure di indurimento rientrano in due categorie, affrontando come ciascun tipo di DLL viene caricato.
1. Caricamento più rigoroso delle DLL di sistema
I DLL di sistema come CRYPTBASE.dll vengono ora caricati dalla cartella di sistema di Windows, indipendentemente dai file presenti nella cartella del programma X-VPN. Questo si applica ai DLL di sistema a ogni livello della catena di caricamento. Di conseguenza, anche se un DLL malevolo fosse in qualche modo posizionato all’interno della cartella del programma X-VPN, il client è progettato per impedire il caricamento al suo posto del file di sistema legittimo.
2. Protezione a più livelli per i DLL delle applicazioni
Le DLL proprie dell’applicazione X-VPN devono, per necessità, essere caricate dalla cartella del programma, non fanno parte di Windows e non hanno un equivalente nel percorso di sistema. Abbiamo implementato tre strati indipendenti di difesa per garantire che queste DLL non possano essere sostituite o manomesse:
- Controlli di accesso alla directory. La cartella di installazione di X-VPN è protetta dalle autorizzazioni del file system di Windows che richiedono privilegi di amministratore per essere modificata. Qualsiasi processo che tenta di scrivere un DLL in questa cartella senza diritti elevati viene bloccato dal sistema operativo.
- Verifica della whitelist degli hash all’avvio. Ogni volta che X-VPN viene avviato, il client scansiona ricorsivamente ogni DLL all’interno della sua cartella di programma e la verifica rispetto a un elenco di hash conosciuti come buoni. Se una DLL non è nella whitelist, o se il suo hash non corrisponde al valore atteso, il client rifiuta di continuare l’esecuzione. Questo elenco di hash è compilato direttamente nell’eseguibile di X-VPN piuttosto che memorizzato come un file separato, il che significa che non può essere manomesso da solo senza modificare il binario firmato di X-VPN, il che invaliderebbe la firma digitale.
- Politiche di caricamento DLL rigorose sono applicate per processo. Ogni processo X-VPN applica regole di caricamento DLL rinforzate all’avvio, limitando da dove possono essere caricati i DLL e quali fonti sono considerate affidabili.
Insieme, queste misure aiutano a garantire che inserire un file dannoso all’interno della cartella del programma X-VPN sia di per sé estremamente difficile da iniziare, ma anche nello scenario ipotetico in cui un attaccante riesca a farlo, il client è progettato per rilevare la manomissione e rifiutare di eseguire. Crediamo che le difese proattive e stratificate siano degne di essere implementate, sia per affrontare lo scenario specifico descritto in questo rapporto sia per rafforzare il client X-VPN per Windows contro schemi di attacco simili in modo più ampio.
Cosa Dovrebbero Fare Gli Utenti
Aggiorna a X-VPN per Windows versione 77.5.3 o successiva.
Questa versione include le misure di indurimento aggiuntive descritte in questa dichiarazione. Puoi scaricarla dalla nostra pagina ufficiale di download per Windows.
Scarica sempre X-VPN solo da fonti ufficiali.
Si prega di scaricare X-VPN dalla nostra pagina ufficiale di download per Windows, il Microsoft Store, o dall’app store ufficiale della tua piattaforma. Evita siti di download di terze parti, link di condivisione di file o installer ricevuti tramite email o app di messaggistica.
Fai attenzione alle versioni “portatili” o “crackate” di X-VPN.
X-VPN non distribuisce ufficialmente alcuna versione portatile del nostro client Windows, qualsiasi pacchetto di questo tipo trovato online dovrebbe essere considerato non affidabile.
Se sospetti di aver installato X-VPN da una fonte non ufficiale
Disinstallalo e reinstalla la versione ufficiale dalla pagina di download ufficiale di Windows.
Il nostro impegno per la sicurezza
Ringraziamo il Howler Cell Threat Research Team di Cyderes per aver portato questo rapporto alla nostra attenzione attraverso un processo di divulgazione responsabile. L’analisi è stata scritta da Reegun Jayapaul e Rahul Ramesh. Il loro blog di ricerca che copre questa divulgazione è disponibile ora. Apprezziamo sinceramente il tempo e gli sforzi che il team ha investito nella loro ricerca e crediamo che una divulgazione coordinata di questo tipo avvantaggi l’intera comunità della sicurezza.
X-VPN accoglie input da ricercatori di sicurezza indipendenti. Se credi di aver scoperto un problema di sicurezza che influisce su qualsiasi prodotto X-VPN, ti incoraggiamo a inviare le tue scoperte attraverso il nostro Programma di Bug Bounty, dove rapporti validi e riproducibili sono idonei a premi monetari che ci aiutano a rafforzare la sicurezza di ogni cliente X-VPN. Per preoccupazioni di sicurezza o comportamenti insoliti che potrebbero non rientrare in una sottomissione formale di vulnerabilità, puoi anche contattare direttamente il nostro team di sicurezza all’indirizzo security@xvpn.io. Tutti i rapporti vengono esaminati dal nostro team di sicurezza e rispondiamo il più rapidamente possibile.
La sicurezza non è uno sforzo occasionale. Continueremo a investire nella protezione dei nostri utenti attraverso un costante rafforzamento dei client, una comunicazione trasparente e un coinvolgimento attivo con la comunità di ricerca. Rapporti come questo ci aiutano a migliorare e ci impegniamo a gestirli tutti con l’apertura e la serietà che meritano.
La fiducia che i nostri utenti ripongono in X-VPN è qualcosa che prendiamo sul serio, e guadagnarla è una responsabilità continua che accogliamo con favore.
FAQ
Is X-VPN sicuro da usare adesso?
Sì. Il client ufficiale di X-VPN per Windows scaricato dalla nostra pagina di download per Windows o dal Microsoft Store è sicuro da usare. Il rapporto di sicurezza descrive uno scenario in cui gli attaccanti ripacchettano X-VPN con un DLL malevolo e distribuiscono la versione manomessa attraverso canali non ufficiali. Gli utenti che hanno installato X-VPN dalle nostre fonti ufficiali non sono interessati dallo scenario del pacchetto manomesso segnalato.
È stato risolto il problema del side-loading del DLL di X-VPN per Windows?
Sì. X-VPN ha implementato misure di indurimento complete contro il caricamento laterale di DLL e modelli di attacco correlati, a partire da X-VPN per Windows versione 77.5.3, che è ora disponibile. Queste includono regole di caricamento più severe per le DLL di sistema (come CRYPTBASE.dll, che ora vengono caricate esclusivamente dalla directory di sistema di Windows), una verifica dell’hash al momento dell’avvio di ogni DLL all’interno della cartella di installazione di X-VPN e politiche di caricamento delle DLL rigorosamente applicate a livello di processo. La whitelist degli hash utilizzata per la verifica è incorporata direttamente nell’eseguibile di X-VPN, quindi non può essere manomessa indipendentemente.
La mia installazione di X-VPN è stata hackerata?
Se la tua installazione di X-VPN è influenzata dipende dalla tua versione e da come l’hai ottenuta. Tre scenari comuni:
Scenario 1: Esecuzione della versione 77.5.3 o successiva con una firma digitale valida.
Non influenzato. La versione 77.5.3 include un indurimento che previene questa categoria di attacco. Puoi verificare la tua versione all’interno dell’app e confermare la firma dell’eseguibile facendo clic destro sul .exe → Proprietà → Firme digitali.
Scenario 2: Scaricato da una fonte ufficiale e installato nella posizione predefinita.
Non influenzato. La cartella di installazione predefinita richiede privilegi di amministratore per essere modificata, impedendo ai processi ordinari di inserire un DLL dannoso al suo interno.
Scenario 3: Scaricato da una fonte ufficiale, ma in esecuzione con una versione precedente alla 77.5.3, installato in una posizione non predefinita, con altro software dannoso presente sul dispositivo.
In questa combinazione, è teoricamente possibile che altro software dannoso abbia inserito un DLL manomesso nella cartella di X-VPN. Raccomandiamo vivamente di aggiornare alla versione 77.5.3 o successiva, che chiude questo percorso attraverso permessi di directory più rigorosi, verifica dell’integrità del DLL e politiche di caricamento per processo.
Se non sei sicuro di quale scenario si applichi, l’azione più sicura è disinstallare e reinstallare l’ultima versione ufficiale da xvpn.io/download/vpn-win.
What is CVE-2025-56383, e il problema di X-VPN è lo stesso?
CVE-2025-56383 è un rapporto di caricamento laterale di DLL contro Notepad++ che è stato formalmente contestato da più parti nella comunità della sicurezza. La disputa si è incentrata su come classificare e valutare questa categoria di problema, dato che lo sfruttamento richiede che un attaccante posizioni prima un file dannoso all’interno della cartella del programma, il che in pratica significa che l’utente è stato tipicamente ingannato a eseguire software manomesso da una fonte non affidabile.
Il rapporto di X-VPN descrive la stessa classe di problema: CWE-427 (Elemento di percorso di ricerca non controllato) riflette il fatto che, per impostazione predefinita, X-VPN, come molte applicazioni Windows, non ha imposto controlli rigorosi sui percorsi o sulle firme durante il caricamento di alcune dipendenze DLL. Questo è un problema reale che abbiamo affrontato nella versione 77.5.3, che introduce politiche rigorose di caricamento delle DLL, verifica dell’integrità all’avvio e permessi di directory rinforzati per garantire che le dipendenze DLL vengano caricate solo da posizioni affidabili. Piuttosto che concentrarci su come il problema sottostante è classificato nell’industria, abbiamo dato priorità alla fornitura di protezioni che riducono in modo significativo il rischio per i nostri utenti.
Come posso segnalare un problema di sicurezza a X-VPN?
I ricercatori di sicurezza e gli utenti possono segnalare problemi di sicurezza a X-VPN attraverso due canali:
– Per segnalazioni di vulnerabilità formali idonee a premi monetari: invia tramite il nostro Programma di Bug Bounty
– Per preoccupazioni generali sulla sicurezza, comportamenti sospetti o domande: invia un’email al nostro team di sicurezza all’indirizzo security@xvpn.io
Tutte le segnalazioni vengono esaminate dal nostro team di sicurezza e rispondiamo il prima possibile.
