Введение
X-VPN недавно получил отчет, описывающий сценарий подгрузки DLL в клиенте Windows, который касается только подделанных, перепакованных копий, полученных из неофициальных источников, а не пользователей, которые загрузили X-VPN с нашей официальной страницы загрузки Windows или из Microsoft Store. На основе нашего собственного расследования мы не нашли доказательств того, что пользователи X-VPN были нацелены или скомпрометированы через этот сценарий, и мы внедрили меры по усилению безопасности в X-VPN для Windows версии 77.5.3. Всем пользователям Windows рекомендуется обновиться до этой версии при первой возможности.
В духе прозрачности и подотчетности мы поделимся деталями отчета, его фактическим объемом и действиями, которые мы предприняли.
Table of Contents
Временная шкала ответа
- 18 мая 2026 года — Команда по исследованию угроз ячеек Howler в Cyderes сообщила о проблеме команде безопасности X-VPN.
- 20 мая 2026 года — X-VPN подтвердил получение отчета и передал вопрос для внутреннего расследования и устранения.
- 28 мая 2026 года — X-VPN выпустил версию 77.5.3 для Windows, которая включает в себя меры по усилению безопасности, описанные в этом заявлении.
Ключевые выводы
На основе проверки, ориентированной на соблюдение, мы пришли к следующим выводам:
Официальный клиент X-VPN для Windows безопасен
- Пользователи, которые загрузили X-VPN с нашей официальной страницы загрузки для Windows или из Microsoft Store, не подвержены описанному сценарию с поддельным пакетом. Атака касается только пользователей, которые используют поддельную, перепакованную версию X-VPN, полученную из неофициальных источников, таких как фишинговые сайты, пиратские форумы или нежелательные ссылки для загрузки.
Не было выявлено подтвержденных случаев эксплуатации X-VPN в дикой природе.
- На основе нашего собственного независимого расследования мы не нашли доказательств того, что пользователи X-VPN были нацелены или скомпрометированы в рамках этого сценария. Исследователи, проводившие отчет, также указали, что их выводы были получены на основе анализа разведки угроз и реверс-инжиниринга инфраструктуры атакующего, а не на основе наблюдаемых случаев жертв.
Этот отчет не касается каких-либо нарушений серверов X-VPN, инфраструктуры или шифрования.
- Проблему нельзя вызвать удаленно или через обычное сетевое использование X-VPN. Ни данные пользователей, ни учетные записи, ни учетные данные, ни трафик VPN со стороны X-VPN не были скомпрометированы.
Не применимо к другим платформам X-VPN.
- Этот отчет касается только клиента Windows. Клиенты X-VPN на других платформах, включая iOS, Android, macOS, Linux, Chrome Extension, TV, Router, Chromebook и Game Console, построены на совершенно других архитектурах, которые не используют загрузку DLL Windows. Эти платформы не затрагиваются данным отчетом.
Дополнительное усиление было развернуто в X-VPN для версии Windows 77.5.3
- Хотя официальный клиент X-VPN не подвергался риску из-за этого отчета, мы внедрили дополнительные меры защиты для усиления клиента против этой категории атак. Эта версия теперь доступна, и всем пользователям Windows рекомендуется обновиться.
X-VPN классифицировал этот отчет как проблему высокой серьезности, а не критическую.
- Классификация отражает три фактора: проблема не может быть вызвана удаленно или при нормальном использовании X-VPN; официальный клиент X-VPN не подвержен атаке; и у нас нет подтвержденных доказательств эксплуатации в дикой природе.
Сообщенное поведение является известным классом проблемы безопасности приложений Windows.
- Это может произойти в любом приложении Windows, которое полагается на поведение поиска DLL по умолчанию, и для решения этой проблемы необходимо применить более строгие политики загрузки DLL, которые X-VPN теперь реализовал в версии 77.5.3.
Что было сообщено
Понимание DLL-файлов
Чтобы понять, что было сообщено, полезно сначала понять, как работают программы Windows, и определить, что такое DLL.
Программа Windows редко является единственным файлом. Обычно она состоит из одного основного исполняемого файла (файла .exe, на который пользователи дважды щелкают) вместе с множеством вспомогательных модулей, называемых DLL (библиотеки динамической компоновки).
Эти DLL-файлы поступают из двух источников:
- 1Приложение DLL:Написано и отправлено производителем программного обеспечения. Они хранятся в папке программы, рядом с основным .exe файлом.
- 2Системные DLL:Предоставлено самой Windows, хранится в папке системных файлов Windows.
CRYPTBASE.dllявляется одним из них, используемым бесчисленными приложениями Windows.
Как Windows находит DLL, когда программе это нужно
Когда программа нуждается в загрузке DLL по имени, Windows ищет его в следующем порядке (упрощено для удобства чтения):
Небольшой защищенный список, поддерживаемый самой Windows, называется KnownDLLs.
Папка программы
Папка системы Windows
Файл CRYPTBASE.dll является системной DLL, но он не находится в списке KnownDLLs. Это означает, что когда программа запрашивает его по имени, Windows сначала будет искать в папке программы, и только затем перейдет к системной папке, если файл с таким именем не найден.
Это поведение поиска было частью Windows по замыслу на протяжении десятилетий, и каждое приложение Windows, Chrome, Microsoft Office, Steam, Notepad++, X-VPN и практически каждая другая программа на платформе работает в соответствии с этим.
Сценарий атаки в отчете
Отчет описывает способ, с помощью которого можно использовать упомянутое выше поведение поиска для запуска вредоносного кода в контексте X-VPN. Важно отметить, что это не нацелено на уязвимость самого клиента X-VPN, а полностью зависит от обмана пользователя, заставляя его запустить измененную, переупакованную версию X-VPN из неофициального источника.
Атака продолжается следующим образом:
- Злоумышленник берет легитимные файлы программы X-VPN с нашего официального сайта, помещает вредоносный
CRYPTBASE.dllв папку и переупаковывает всю папку для распространения. - Злоумышленник распространяет этот поддельный пакет через неофициальные каналы, фишинговые сайты, пиратские форумы, ссылки для обмена файлами или нежелательные сообщения, часто маскируясь под «портативную» версию X-VPN.
- Пользователь вводится в заблуждение и загружает и запускает этот поддельный пакет.
- Когда запущенный .exe файл начинает загружать свои DLL, одна из этих DLL в конечном итоге запрашивает
CRYPTBASE.dllпо имени. Следуя описанному выше процессу поиска, Windows находит файл, установленный злоумышленником, в папке программы и загружает его. Код злоумышленника выполняется в сеансе пользователя.
Вся эта цепочка зависит от того, что пользователь сначала запустит подделанную версию X-VPN. Для пользователей, которые установили X-VPN из официальных источников:
- Официальный установщик X-VPN содержит только легитимные, подписанные файлы, в папку установки никогда не помещаются вредоносные DLL во время подлинной установки.
- После установки папка программы X-VPN защищена Windows и требует прав администратора для изменения, что предотвращает возможность обычных процессов или пользователей вставлять в нее вредоносный DLL-файл позже.
Атака использует пользователя, который уже был обманут и запустил программное обеспечение, предоставленное злоумышленником, из ненадежного источника.
Как это связано с X-VPN
Этот отчет касается проблемы CWE-427 (Неконтролируемый элемент пути поиска) в клиенте X-VPN для Windows. Как и многие приложения для Windows, X-VPN ранее не обеспечивал строгую проверку путей или подписей при загрузке определенных зависимостей DLL, что является основным поведением, описанным в CWE-427. Мы решили эту проблему в версии 77.5.3 с помощью более строгих политик загрузки DLL, проверки целостности во время запуска и усиленных разрешений на доступ к каталогам. Как классифицировать и оценивать эту категорию проблем — тема продолжающихся дебатов в сообществе безопасности, включая недавний отчет CVE-2025-56383 против Notepad++.
Что описывает отчет, на практике, это кампания по подделке вредоносного ПО, в которой X-VPN используется как узнаваемый бренд, наряду с другим легитимным программным обеспечением, упакованным аналогичным образом тем же действующим лицом, чтобы заманить жертв в запуск модифицированного программного обеспечения.
Затронутый объем
Зависит от того, затронут ли пользователь, полностью от того, откуда пришла их копия X-VPN. Таблица ниже подводит итоги:
Как был получен X-VPN | Затронут? |
|---|---|
Скачано и установлено с официальной страницы загрузки X-VPN для Windows (https://xvpn.io/download/vpn-win) | ❌ Не затронуто |
Скачано из Microsoft Store | ❌ Не затронуто |
Скачано в «портативной» версии с пиратского сайта или неизвестной ссылки | ⚠️ Потенциально затронутые |
Получено как установщик или пакет от неизвестного отправителя | ⚠️ Потенциально затронутые |
Как мы это исправили
X-VPN внедрил комплексные меры по усилению безопасности в версии 77.5.3 для решения этой категории сценариев подгрузки DLL в клиенте Windows. Эти меры по усилению безопасности теперь доступны в X-VPN для Windows версии 77.5.3. Наши меры по усилению безопасности делятся на две категории, которые касаются того, как загружается каждый тип DLL.
1. Более строгая загрузка системных DLL
Системные DLL, такие как CRYPTBASE.dll, теперь загружаются из системной папки Windows, независимо от того, какие файлы существуют в папке программы X-VPN. Это относится к системным DLL на каждом уровне цепочки загрузки. В результате, даже если вредоносная DLL каким-то образом будет помещена в папку программы X-VPN, клиент разработан так, чтобы предотвратить ее загрузку вместо законного системного файла.
2. Многоуровневая защита для DLL приложений
Собственные DLL-библиотеки X-VPN должны, по необходимости, загружаться из папки программы, они не являются частью Windows и не имеют эквивалента в системном пути. Мы реализовали три независимых уровня защиты, чтобы помочь гарантировать, что эти DLL не могут быть заменены или подвергнуты вмешательству:
- Контроль доступа к каталогу. Папка установки X-VPN защищена разрешениями файловой системы Windows, которые требуют прав администратора для изменения. Любой процесс, пытающийся записать DLL в эту папку без повышенных прав, блокируется операционной системой.
- Проверка белого списка хешей при запуске. Каждый раз, когда X-VPN запускается, клиент рекурсивно сканирует каждую DLL в своей папке программы и проверяет ее по известному хорошему списку хешей. Если какая-либо DLL отсутствует в белом списке или если ее хеш не соответствует ожидаемому значению, клиент отказывается продолжать выполнение. Этот список хешей компилируется непосредственно в исполняемый файл X-VPN, а не хранится в виде отдельного файла, что означает, что его нельзя подделать самостоятельно без изменения подписанного двоичного файла X-VPN, что аннулирует цифровую подпись.
- Строгие политики загрузки DLL применяются для каждого процесса. Каждый процесс X-VPN применяет жесткие правила загрузки DLL при запуске, ограничивая, откуда могут загружаться DLL, и какие источники считаются надежными.
Совместно эти меры помогают гарантировать, что размещение вредоносного файла в папке программы X-VPN изначально крайне затруднительно, но даже в гипотетическом сценарии, где злоумышленник удается это сделать, клиент разработан для обнаружения вмешательства и отказа в выполнении. Мы считаем, что проактивные, многоуровневые меры защиты стоит внедрять как для решения конкретного сценария, описанного в этом отчете, так и для укрепления клиента X-VPN для Windows против аналогичных паттернов атак в более широком смысле.
Что пользователи должны делать
Обновите X-VPN для Windows версии 77.5.3 или более поздней.
Эта версия включает дополнительные меры по усилению безопасности, описанные в этом заявлении. Вы можете скачать ее с нашей официальной страницы загрузки для Windows.
Всегда загружайте X-VPN только из официальных источников.
Пожалуйста, загрузите X-VPN с нашей официальной страницы загрузки для Windows, Microsoft Store или из официального магазина приложений вашей платформы. Избегайте сторонних сайтов для загрузки, ссылок для обмена файлами или установщиков, полученных по электронной почте или в мессенджерах.
Будьте осторожны с «портативными» или «взломанными» версиями X-VPN.
X-VPN официально не распространяет никаких портативных сборок нашего клиента для Windows, любые такие пакеты, найденные в интернете, следует считать ненадежными.
Если вы подозреваете, что могли установить X-VPN из неофициального источника
Удалите его и переустановите официальную версию с официальной страницы загрузки Windows.
Наша приверженность безопасности
Мы благодарим команду исследования угроз Howler Cell в Cyderes за то, что они обратили наше внимание на этот отчет через процесс ответственного раскрытия информации. Анализ был написан Reegun Jayapaul и Rahul Ramesh. Их исследовательский блог, посвященный этому раскрытию, уже доступен. Мы искренне ценим время и усилия, которые команда вложила в свое исследование, и верим, что координированное раскрытие такого рода приносит пользу всему сообществу безопасности.
X-VPN приветствует отзывы от независимых исследователей безопасности. Если вы считаете, что обнаружили проблему безопасности, касающуюся любого продукта X-VPN, мы рекомендуем вам отправить свои выводы через нашу Программу вознаграждений за ошибки, где действительные и воспроизводимые отчеты имеют право на денежные вознаграждения, которые помогают нам укрепить безопасность каждого клиента X-VPN. По вопросам безопасности или необычному поведению, которые могут не подходить для формальной подачи уязвимости, вы также можете напрямую связаться с нашей командой безопасности по адресу security@xvpn.io. Все отчеты рассматриваются нашей командой безопасности, и мы отвечаем как можно быстрее.
Безопасность — это не разовая работа. Мы будем продолжать инвестировать в защиту наших пользователей через постоянное укрепление клиентов, прозрачное общение и активное взаимодействие с исследовательским сообществом. Такие отчеты, как этот, помогают нам улучшаться, и мы обязуемся рассматривать каждый из них с той открытостью и серьезностью, которые они заслуживают.
Доверие, которое наши пользователи оказывают X-VPN, является чем-то, что мы воспринимаем серьезно, и его заслуживание — это постоянная ответственность, которую мы приветствуем.
Часто задаваемые вопросы
Is X-VPN безопасен для использования сейчас?
Да. Официальный клиент X-VPN для Windows, загруженный с нашей страницы загрузки для Windows или из Microsoft Store, безопасен для использования. В отчете о безопасности описывается сценарий, в котором злоумышленники перепаковывают X-VPN с вредоносной DLL и распространяют поддельную версию через неофициальные каналы. Пользователи, которые установили X-VPN из наших официальных источников, не подвержены описанному сценарию с поддельным пакетом.
Проблема с побочным загрузкой DLL X-VPN для Windows была решена?
Да. X-VPN внедрил комплексные меры по усилению защиты от подгрузки DLL и связанных с ней атак, начиная с версии X-VPN для Windows 77.5.3, которая теперь доступна. К ним относятся более строгие правила загрузки для системных DLL (таких как CRYPTBASE.dll, которые теперь загружаются исключительно из системного каталога Windows), проверка хешей на этапе запуска для каждой DLL в папке установки X-VPN и строгие политики загрузки DLL, применяемые на уровне каждого процесса. Список хешей, используемый для проверки, встроен непосредственно в исполняемый файл X-VPN, поэтому его нельзя подделать независимо.
Моя установка X-VPN была взломана?
Зависит от вашей версии X-VPN и способа ее получения. Три распространенных сценария:
Сценарий 1: Запущена версия 77.5.3 или более поздняя с действительной цифровой подписью.
Не затронуто. Версия 77.5.3 включает усиление, которое предотвращает эту категорию атак. Вы можете проверить свою версию внутри приложения и подтвердить подпись исполняемого файла, щелкнув правой кнопкой мыши на .exe → Свойства → Цифровые подписи.
Сценарий 2: Загружено из официального источника и установлено в стандартное место.
Не затронуто. Стандартная папка установки требует прав администратора для изменения, что предотвращает обычные процессы от размещения вредоносного DLL в ней.
Сценарий 3: Загружено из официального источника, но запущена версия ранее 77.5.3, установлено в нестандартное место, с другим вредоносным программным обеспечением на устройстве.
При этой комбинации теоретически возможно, что другое вредоносное программное обеспечение могло разместить поддельный DLL в папке X-VPN. Мы настоятельно рекомендуем обновиться до версии 77.5.3 или более поздней, которая закрывает этот путь через более строгие разрешения на директории, проверку целостности DLL и политики загрузки на уровне процесса.
Если вы не уверены, какой сценарий применим, самым безопасным действием будет удалить и переустановить последнюю официальную версию с xvpn.io/download/vpn-win.
Что такое CVE-2025-56383, и является ли проблема X-VPN такой же?
CVE-2025-56383 — это отчет о боковой загрузке DLL против Notepad++, который был официально оспорен несколькими сторонами в сообществе безопасности. Спор сосредоточился на том, как классифицировать и оценивать эту категорию проблемы, учитывая, что для эксплуатации злоумышленнику сначала необходимо поместить вредоносный файл в папку программы — что на практике означает, что пользователь обычно был обманут и запустил измененное программное обеспечение из ненадежного источника.
Отчет X-VPN описывает ту же категорию проблемы: CWE-427 (Неконтролируемый элемент пути поиска) отражает тот факт, что по умолчанию X-VPN, как и многие приложения Windows, не обеспечивал строгую проверку пути или подписи при загрузке определенных зависимостей DLL. Это реальная проблема, которую мы решили в версии 77.5.3, которая вводит строгие политики загрузки DLL, проверку целостности во время запуска и усиленные разрешения на директории, чтобы гарантировать, что зависимости DLL загружаются только из доверенных мест. Вместо того чтобы сосредотачиваться на том, как основная проблема классифицируется в отрасли, мы приоритизировали предоставление защит, которые существенно снижают риски для наших пользователей.
Как мне сообщить о проблеме безопасности в X-VPN?
Исследователи безопасности и пользователи могут сообщать о проблемах безопасности в X-VPN через два канала:
— Для официальных отчетов о уязвимостях, имеющих право на денежные вознаграждения: отправьте через нашу Программу вознаграждений за уязвимости
— Для общих вопросов безопасности, подозрительного поведения или вопросов: отправьте электронное письмо нашей команде безопасности по адресу security@xvpn.io
Все отчеты рассматриваются нашей командой безопасности, и мы отвечаем как можно быстрее.
