Mostrar Todos Ocultar tudo

Pesquisa

Declaração Oficial: Resposta da X-VPN ao Relatório de Carregamento Lateral de DLL do Windows

Escrito Por: Sandra Mitchell

Jun 05, 2026

Official Statement: X-VPN's Response to the Windows DLL Side-Loading Report

Introdução

O X-VPN recebeu recentemente um relatório descrevendo um cenário de sideloading de DLL no cliente Windows que se aplica apenas a cópias adulteradas e reempacotadas obtidas de fontes não oficiais, e não a usuários que baixaram o X-VPN de nossa página oficial de download do Windows ou da Microsoft Store. Com base em nossa própria investigação, não encontramos evidências de que os usuários do X-VPN foram alvo ou comprometidos por meio desse cenário, e implementamos medidas de reforço no X-VPN para Windows versão 77.5.3. Todos os usuários do Windows são incentivados a atualizar para esta versão assim que possível.

No espírito de transparência e responsabilidade, compartilharemos os detalhes do relatório, seu escopo real e as ações que tomamos.

Linha do Tempo de Resposta

18 de maio de 2026 — A equipe de pesquisa de ameaças da Howler Cell na Cyderes relatou o problema à equipe de segurança da X-VPN.
20 de maio de 2026 — A X-VPN reconheceu o recebimento do relatório e escalou a questão para investigação interna e remediação.
28 de maio de 2026 — O X-VPN lançou a versão 77.5.3 para Windows, que inclui as medidas de reforço descritas nesta declaração.

Principais Descobertas

Com base em uma verificação focada na conformidade, chegamos às seguintes conclusões:

O cliente oficial do X-VPN para Windows é seguro.

Os usuários que baixaram o X-VPN de nossa página oficial de download do Windows ou da Microsoft Store não são afetados pelo cenário de pacote adulterado relatado. O ataque se aplica apenas aos usuários que executam uma versão adulterada e reempacotada do X-VPN obtida de fontes não oficiais, como sites de phishing, fóruns piratas ou links de download não solicitados.

Nenhuma exploração confirmada em ambiente selvagem do X-VPN foi identificada.

Com base em nossa própria investigação independente, não encontramos evidências de que os usuários do X-VPN foram alvo ou comprometidos por meio deste cenário. Os pesquisadores que relataram também indicaram que suas descobertas foram derivadas de análise de inteligência de ameaças e engenharia reversa da infraestrutura do atacante, em vez de casos de vítimas observados.

Este relatório não envolve qualquer violação dos servidores, infraestrutura ou criptografia do X-VPN.

O problema não pode ser acionado remotamente ou através do uso normal da rede do X-VPN. Nenhum dado de usuário, contas, credenciais ou tráfego de VPN do lado do X-VPN foi comprometido.

Não aplicável a qualquer outra plataforma X-VPN

Este relatório diz respeito apenas ao cliente Windows. Os clientes do X-VPN em outras plataformas, incluindo iOS, Android, macOS, Linux, Extensão do Chrome, TV, Roteador, Chromebook e Console de Jogos, são construídos em arquiteturas completamente diferentes que não utilizam o carregamento de DLL do Windows. Essas plataformas não são afetadas por este relatório.

Um endurecimento adicional foi implementado no X-VPN para a versão 77.5 do Windows.3

Embora o cliente oficial do X-VPN não estivesse em risco devido a este relatório, implementamos proteções adicionais de defesa em profundidade para fortalecer o cliente contra esta categoria de ataque. Esta versão já está disponível e todos os usuários do Windows são incentivados a atualizar.

O X-VPN classificou este relatório como um problema de alta gravidade, não crítico.

A classificação reflete três fatores: o problema não pode ser acionado remotamente ou através do uso normal do X-VPN; o cliente oficial do X-VPN não é afetado pelo caminho de ataque; e não temos evidências confirmadas de exploração em ambientes reais.

O comportamento relatado é uma classe conhecida de problema de segurança em aplicativos do Windows.

Pode ocorrer em qualquer aplicativo do Windows que dependa do comportamento padrão de busca de DLL, e abordá-lo requer a aplicação de políticas de carregamento de DLL mais rigorosas, que o X-VPN agora implementou na versão 77.5.3.

O que foi relatado

Compreendendo DLLs

Para entender o que foi relatado, é útil primeiro compreender como os programas do Windows funcionam e a definição de DLLs.

Um programa do Windows raramente é um único arquivo. Ele normalmente consiste em um executável principal (o arquivo .exe que os usuários clicam duas vezes) juntamente com muitos módulos de suporte chamados DLLs (Bibliotecas de Vínculo Dinâmico).

Esses DLLs vêm de dois lugares:

1
DLLs de Aplicação:
Escrito e enviado pelo fabricante de software. Estes estão armazenados na pasta do programa, ao lado do arquivo principal .exe.
2
DLLs do Sistema:
Fornecido pelo próprio Windows, armazenado na pasta do sistema do Windows. CRYPTBASE.dll é um desses, usado por inúmeras aplicações do Windows.

Como o Windows Encontra um DLL Quando um Programa Precisa de Um

How Windows Finds A DLL When A Program Needs One

Quando um programa precisa carregar um DLL pelo nome, o Windows a procura na seguinte ordem (simplificada para legibilidade):

Uma pequena lista protegida mantida pelo próprio Windows, chamada KnownDLLs.

Se o nome da DLL solicitada estiver nesta lista, o Windows sempre carrega a cópia genuína da pasta do sistema, e a busca termina aqui.

A pasta do programa

Se o nome do DLL não estiver na lista KnownDLLs, o Windows verifica a pasta do programa em seguida.

A pasta do sistema Windows

Se o DLL não for encontrado na pasta do programa, o Windows finalmente recorre à pasta do sistema.

O CRYPTBASE.dll é uma DLL do sistema, mas não está na lista de KnownDLLs. Isso significa que, quando um programa a solicita pelo nome, o Windows procurará primeiro na pasta do programa e só irá para a pasta do sistema se nenhum arquivo com esse nome for encontrado.

Esse comportamento de busca faz parte do Windows por design há décadas, e todos os aplicativos do Windows, Chrome, Microsoft Office, Steam, Notepad++, X-VPN e praticamente todos os outros programas na plataforma operam sob ele.

O Cenário de Ataque no Relatório

O relatório descreve uma maneira pela qual o comportamento de busca mencionado acima pode ser explorado para executar código malicioso no contexto do X-VPN. É importante ressaltar que isso não visa uma falha no próprio cliente X-VPN, mas depende inteiramente de enganar o usuário para executar uma versão adulterada e reempacotada do X-VPN de uma fonte não oficial.

O ataque prossegue da seguinte forma:

Um atacante pega os arquivos do programa legítimo X-VPN do nosso site oficial, coloca um CRYPTBASE.dll malicioso dentro da pasta e reempacota toda a pasta para distribuição.
O atacante distribui este pacote adulterado através de canais não oficiais, sites de phishing, fóruns piratas, links de compartilhamento de arquivos ou mensagens não solicitadas, muitas vezes disfarçado como uma versão “portátil” do X-VPN.
Um usuário é enganado a baixar e executar este pacote adulterado.
Quando o .exe empacotado é iniciado e começa a carregar suas DLLs, uma dessas DLLs eventualmente solicita CRYPTBASE.dll pelo nome. Seguindo o processo de busca descrito acima, o Windows encontra o arquivo plantado pelo atacante dentro da pasta do programa e o carrega. O código do atacante é executado dentro da sessão do usuário.

Toda esta cadeia depende do usuário primeiro executar uma cópia adulterada do X-VPN. Para usuários que instalaram o X-VPN de fontes oficiais:

O instalador oficial do X-VPN contém apenas arquivos legítimos e assinados, nenhum DLL malicioso é colocado na pasta de instalação durante uma instalação genuína.
Após a instalação, a pasta do programa X-VPN é protegida pelo Windows e requer privilégios de administrador para ser modificada, o que impede que processos ou usuários comuns insiram um DLL malicioso nela posteriormente.

O ataque explora um usuário que já foi enganado a executar software fornecido pelo atacante de uma fonte não confiável.

Como isso se relaciona com o X-VPN

Este relatório diz respeito a um problema CWE-427 (Elemento de Caminho de Pesquisa Não Controlado) no cliente Windows do X-VPN. Como muitos aplicativos do Windows, o X-VPN não aplicava anteriormente verificações rigorosas de caminho ou assinatura ao carregar certas dependências DLL, que é o comportamento subjacente descrito pelo CWE-427. Abordamos isso na versão 77.5.3 por meio de políticas de carregamento de DLL mais rigorosas, verificação de integridade no momento da inicialização e permissões de diretório reforçadas. Como classificar e avaliar essa categoria de problema é um tópico de debate contínuo na comunidade de segurança, incluindo o recente relatório CVE-2025-56383 contra o Notepad++.

O que o relatório descreve, na prática, é uma campanha de impersonalização de malware na qual o X-VPN está sendo usado como uma marca reconhecível, juntamente com outro software legítimo sendo reempacotado de maneiras semelhantes pelo mesmo ator, para atrair vítimas a executar software adulterado.

Escopo Afetado

Se um usuário é afetado depende inteiramente de onde a cópia do X-VPN dele veio. A tabela abaixo resume o escopo:

Como o X-VPN foi obtido	Afetado?
Baixado e instalado a partir da página oficial de download do X-VPN para Windows (https://xvpn.io/download/vpn-win)	❌ Não afetado
Baixado da Microsoft Store	❌ Não afetado
Baixado como uma versão “portátil” de um site pirata ou de um link desconhecido.	⚠️ Potencialmente afetado
Recebido como um instalador ou pacote de um remetente desconhecido	⚠️ Potencialmente afetado

Como Nós Consertamos Isso

O X-VPN implementou medidas abrangentes de endurecimento na versão 77.5.3 para abordar essa classe de cenário de carregamento lateral de DLL no cliente Windows. Essas medidas de endurecimento agora estão disponíveis no X-VPN para Windows versão 77.5.3. Nossas medidas de endurecimento se dividem em duas categorias, abordando como cada tipo de DLL é carregado.

1. Carregamento mais rigoroso de DLLs do sistema

DLLs do sistema, como CRYPTBASE.dll, agora são carregados da pasta do sistema do Windows, independentemente dos arquivos que existem na pasta do programa X-VPN. Isso se aplica a DLLs do sistema em todos os níveis da cadeia de carregamento. Como resultado, mesmo que uma DLL maliciosa fosse de alguma forma colocada dentro da pasta do programa X-VPN, o cliente é projetado para impedir o carregamento dela em vez do arquivo de sistema legítimo.

2. Proteção em múltiplas camadas para DLLs de aplicação

Os próprios DLLs do aplicativo X-VPN devem, por necessidade, ser carregados da pasta do programa, não fazem parte do Windows e não têm equivalente no caminho do sistema. Implementamos três camadas independentes de defesa para ajudar a garantir que esses DLLs não possam ser substituídos ou adulterados:

Controles de acesso ao diretório. A pasta de instalação do X-VPN é protegida por permissões do sistema de arquivos do Windows que exigem privilégios de administrador para modificação. Qualquer processo que tente gravar um DLL nesta pasta sem direitos elevados é bloqueado pelo sistema operacional.
Verificação da lista de permissões de hash na inicialização. Sempre que o X-VPN é iniciado, o cliente escaneia recursivamente cada DLL dentro de sua pasta de programa e verifica contra uma lista de hashes conhecidos como bons. Se alguma DLL não estiver na lista de permissões, ou se seu hash não corresponder ao valor esperado, o cliente se recusa a continuar a execução. Esta lista de hashes é compilada diretamente no executável do X-VPN em vez de ser armazenada como um arquivo separado, o que significa que não pode ser manipulada sozinha sem modificar o binário assinado do X-VPN, o que invalidaria a assinatura digital.
Políticas rigorosas de carregamento de DLL são aplicadas por processo. Cada processo do X-VPN aplica regras de carregamento de DLL endurecidas na inicialização, restringindo de onde as DLLs podem ser carregadas e quais fontes são confiáveis.

Juntas, essas medidas ajudam a garantir que colocar um arquivo malicioso dentro da pasta do programa X-VPN seja extremamente difícil desde o início, mas mesmo no cenário hipotético em que um atacante consiga fazê-lo, o cliente é projetado para detectar a adulteração e se recusar a executar. Acreditamos que defesas proativas e em camadas valem a pena serem implementadas, tanto para abordar o cenário específico descrito neste relatório quanto para fortalecer o cliente X-VPN para Windows contra padrões de ataque semelhantes de forma mais ampla.

O que os usuários devem fazer

Atualize para a versão 77.5.3 ou posterior do X-VPN para Windows.

Esta versão inclui as medidas adicionais de reforço descritas nesta declaração. Você pode baixá-la na nossa página oficial de download do Windows.

Baixe sempre o X-VPN apenas de fontes oficiais.

Por favor, baixe o X-VPN da nossa página oficial de download do Windows, na Microsoft Store, ou na loja de aplicativos oficial da sua plataforma. Evite sites de download de terceiros, links de compartilhamento de arquivos ou instaladores recebidos por e-mail ou aplicativos de mensagens.

Tenha cuidado com versões “portáteis” ou “crackeadas” do X-VPN.

O X-VPN não distribui oficialmente nenhuma versão portátil de nosso cliente para Windows; qualquer pacote desse tipo encontrado online deve ser tratado como não confiável.

Se você suspeita que pode ter instalado o X-VPN de uma fonte não oficial

Desinstale-o e reinstale a versão oficial a partir da página de download oficial do Windows.

Nosso Compromisso com a Segurança

Agradecemos à equipe de pesquisa de ameaças Howler Cell da Cyderes por trazer este relatório à nossa atenção por meio de um processo de divulgação responsável. A análise foi escrita por Reegun Jayapaul e Rahul Ramesh. O blog de pesquisa deles cobrindo esta divulgação está disponível agora. Agradecemos genuinamente o tempo e o esforço que a equipe investiu em sua pesquisa, e acreditamos que a divulgação coordenada desse tipo beneficia toda a comunidade de segurança.

X-VPN acolhe contribuições de pesquisadores de segurança independentes. Se você acredita ter descoberto um problema de segurança que afeta qualquer produto X-VPN, incentivamos você a enviar suas descobertas através do nosso Programa de Recompensa por Bugs, onde relatórios válidos e reproduzíveis são elegíveis para recompensas monetárias que nos ajudam a fortalecer a segurança de cada cliente X-VPN. Para preocupações de segurança ou comportamentos incomuns que podem não se encaixar em uma submissão formal de vulnerabilidade, você também pode entrar em contato diretamente com nossa equipe de segurança pelo e-mail security@xvpn.io. Todos os relatórios são revisados pela nossa equipe de segurança, e respondemos o mais rápido possível.

A segurança não é um esforço pontual. Continuaremos a investir na proteção de nossos usuários por meio do fortalecimento contínuo do cliente, comunicação transparente e engajamento ativo com a comunidade de pesquisa. Relatórios como este nos ajudam a melhorar, e estamos comprometidos em lidar com cada um deles com a abertura e seriedade que merecem.

A confiança que nossos usuários depositam no X-VPN é algo que levamos a sério, e conquistá-la é uma responsabilidade contínua que acolhemos.

FAQ

Is X-VPN seguro para usar agora?

Sim. O cliente oficial do X-VPN para Windows baixado de nossa página de download do Windows ou da Microsoft Store é seguro para uso. O relatório de segurança descreve um cenário em que atacantes reempacotam o X-VPN com um DLL malicioso e distribuem a versão adulterada por meio de canais não oficiais. Os usuários que instalaram o X-VPN de nossas fontes oficiais não são afetados pelo cenário de pacote adulterado relatado.

O problema de side-loading do DLL do X-VPN para Windows foi resolvido?

Sim. O X-VPN implementou medidas abrangentes de endurecimento contra o carregamento lateral de DLL e padrões de ataque relacionados, começando com o X-VPN para Windows versão 77.5.3, que já está disponível. Isso inclui regras de carregamento mais rigorosas para DLLs do sistema (como CRYPTBASE.dll, que agora são carregadas exclusivamente do diretório do sistema Windows), uma verificação de hash no tempo de inicialização de cada DLL dentro da pasta de instalação do X-VPN, e políticas rigorosas de carregamento de DLL aplicadas a nível de processo. A lista branca de hash usada para verificação está embutida diretamente no executável do X-VPN, portanto, não pode ser manipulada de forma independente.

Minha instalação do X-VPN foi hackeada?

Se a sua instalação do X-VPN é afetada depende da sua versão e de como você a obteve. Três cenários comuns:

Cenário 1: Executando a versão 77.5.3 ou posterior com uma assinatura digital válida.
Não afetado. A versão 77.5.3 inclui reforços que impedem essa categoria de ataque. Você pode verificar sua versão dentro do aplicativo e confirmar a assinatura do executável clicando com o botão direito no .exe → Propriedades → Assinaturas Digitais.

Cenário 2: Baixado de uma fonte oficial e instalado no local padrão.
Não afetado. A pasta de instalação padrão requer privilégios de administrador para ser modificada, impedindo que processos comuns coloquem um DLL malicioso nela.

Cenário 3: Baixado de uma fonte oficial, mas executando uma versão anterior a 77.5.3, instalada em um local não padrão, com outro software malicioso presente no dispositivo.
Sob essa combinação, é teoricamente possível que outro software malicioso tenha colocado um DLL adulterado na pasta do X-VPN. Recomendamos fortemente atualizar para a versão 77.5.3 ou posterior, que fecha esse caminho por meio de permissões de diretório mais rigorosas, verificação de integridade de DLL e políticas de carregamento por processo.
Se você não tiver certeza de qual cenário se aplica, a ação mais segura é desinstalar e reinstalar a versão oficial mais recente de xvpn.io/download/vpn-win.

O que é CVE-2025-56383 e o problema do X-VPN é o mesmo?

CVE-2025-56383 é um relatório de side-loading de DLL contra o Notepad++ que foi formalmente contestado por várias partes na comunidade de segurança. A disputa centrou-se em como classificar e avaliar essa categoria de problema, dado que a exploração requer que um atacante primeiro coloque um arquivo malicioso dentro da pasta do programa — o que, na prática, significa que o usuário geralmente foi enganado a executar software adulterado de uma fonte não confiável.

O relatório do X-VPN descreve a mesma classe de problema: CWE-427 (Elemento de Caminho de Pesquisa Não Controlado) reflete o fato de que, por padrão, o X-VPN, como muitos aplicativos do Windows, não aplicava verificações rigorosas de caminho ou assinatura ao carregar certas dependências de DLL. Este é um problema real que abordamos na versão 77.5.3, que introduz políticas rigorosas de carregamento de DLL, verificação de integridade no tempo de inicialização e permissões de diretório reforçadas para garantir que as dependências de DLL sejam carregadas apenas de locais confiáveis. Em vez de nos concentrarmos em como o problema subjacente é classificado na indústria, priorizamos a entrega de proteções que reduzem significativamente o risco para nossos usuários.

Como faço para relatar um problema de segurança ao X-VPN?

Pesquisadores de segurança e usuários podem relatar problemas de segurança ao X-VPN através de dois canais:
– Para relatórios formais de vulnerabilidades elegíveis para recompensas monetárias: envie através do nosso Programa de Recompensa por Bugs
– Para preocupações gerais de segurança, comportamento suspeito ou perguntas: envie um e-mail para nossa equipe de segurança em security@xvpn.io
Todos os relatórios são revisados pela nossa equipe de segurança, e respondemos o mais rápido possível.

Article by

Sandra Mitchell

Sandra Mitchell, escritora da X-VPN, é uma defensora amigável da privacidade e segurança online, com uma paixão por cibersegurança e as últimas tendências tecnológicas. Através de sua escrita envolvente, Sandra capacita os leitores a controlarem sua privacidade digital. Além de explorar as complexidades das VPNs, ela gosta de aventuras ao ar livre, literatura e de compartilhar a importância da segurança online com os outros.