Giriş
X-VPN, yakın zamanda resmi olmayan kaynaklardan elde edilen, değiştirilmiş ve yeniden paketlenmiş kopyalara uygulanan Windows istemcisinde bir DLL yan yükleme senaryosunu tanımlayan bir rapor aldı. Kendi araştırmalarımıza dayanarak, X-VPN kullanıcılarının bu senaryo aracılığıyla hedef alındığına veya tehlikeye atıldığına dair hiçbir kanıt bulamadık ve Windows sürümü 77.5.3 için X-VPN’de güçlendirme önlemleri aldık. Tüm Windows kullanıcılarının en kısa sürede bu sürüme güncellemeleri teşvik edilmektedir.
Şeffaflık ve hesap verebilirlik ruhuyla, raporun detaylarını, gerçek kapsamını ve aldığımız önlemleri paylaşacağız.
Table of Contents
Yanıt Zaman Çizelgesi
- 18 Mayıs 2026 — Cyderes’teki Howler Cell Tehdit Araştırma Ekibi, durumu X-VPN’in güvenlik ekibine bildirdi.
- 20 Mayıs 2026 — X-VPN, raporun alındığını onayladı ve konuyu iç soruşturma ve düzeltme için yükseltti.
- 28 Mayıs 2026 — X-VPN, bu açıklamada belirtilen güçlendirme önlemlerini içeren Windows için 77.5.3 sürümünü yayınladı.
Anahtar Bulgular
Uyumluluk odaklı bir doğrulama temelinde, aşağıdaki sonuçlara ulaştık:
Resmi X-VPN Windows istemcisi güvenlidir.
- Resmi Windows indirme sayfamızdan veya Microsoft Store’dan X-VPN’i indiren kullanıcılar, bildirilen değiştirilmiş paket senaryosundan etkilenmemektedir. Saldırı, yalnızca resmi olmayan kaynaklardan, örneğin kimlik avı siteleri, korsan forumlar veya istenmeyen indirme bağlantıları gibi, değiştirilmiş, yeniden paketlenmiş bir X-VPN sürümünü kullanan kullanıcılara uygulanmaktadır.
X-VPN’in doğal ortamda istismarına dair herhangi bir onaylanmış durum tespit edilmemiştir.
- Kendi bağımsız araştırmamıza dayanarak, X-VPN kullanıcılarının bu senaryo aracılığıyla hedef alındığına veya tehlikeye atıldığına dair hiçbir kanıt bulamadık. Raporu hazırlayan araştırmacılar da bulgularının, gözlemlenen kurban vakalarından ziyade, tehdit istihbarat analizi ve saldırganın altyapısının tersine mühendislik çalışmasından elde edildiğini belirtmişlerdir.
Bu rapor, X-VPN sunucularının, altyapısının veya şifrelemesinin herhangi bir ihlalini içermemektedir.
- Sorun uzaktan veya X-VPN’in normal ağ kullanımıyla tetiklenemez. Kullanıcı verileri, hesaplar, kimlik bilgileri veya X-VPN tarafındaki VPN trafiği tehlikeye atılmamıştır.
Diğer X-VPN platformlarına uygulanamaz.
- Bu rapor yalnızca Windows istemcisi ile ilgilidir. X-VPN’in iOS, Android, macOS, Linux, Chrome Uzantısı, TV, Yönlendirici, Chromebook ve Oyun Konsolu gibi diğer platformlardaki istemcileri tamamen farklı mimariler üzerine inşa edilmiştir ve Windows DLL yüklemesi kullanmamaktadır. Bu platformlar bu rapordan etkilenmemektedir.
X-VPN için Windows sürümü 77.5’te ek sertleştirme uygulanmıştır.3
- Resmi X-VPN istemcisinin bu rapordan etkilenmediği halde, bu tür saldırılara karşı istemciyi güçlendirmek için ek savunma derinliği korumaları uyguladık. Bu sürüm artık mevcut ve tüm Windows kullanıcılarının güncellemeleri teşvik edilmektedir.
X-VPN bu raporu Yüksek şiddetli bir sorun olarak sınıflandırdı, Kritik değil.
- Sınıflandırma üç faktörü yansıtmaktadır: sorun uzaktan veya X-VPN’in normal kullanımıyla tetiklenemez; resmi X-VPN istemcisi saldırı yolundan etkilenmez; ve sahada istismar edildiğine dair onaylanmış bir kanıtımız yoktur.
Bildirilen davranış, bilinen bir Windows uygulama güvenlik sorunu sınıfıdır.
- Herhangi bir Windows uygulamasında varsayılan DLL arama davranışına dayanan bir durum ortaya çıkabilir ve bunu ele almak, daha katı DLL yükleme politikalarının uygulanmasını gerektirir; bu, X-VPN’in artık 77.5.3 sürümünde uyguladığı bir şeydir.
Ne olarak rapor edildi
DLL’leri Anlamak
Windows programlarının nasıl çalıştığını ve DLL’lerin tanımını anlamak, rapor edilenleri anlamaya yardımcı olur.
Bir Windows programı nadiren tek bir dosyadır. Genellikle, kullanıcıların çift tıkladığı ana çalıştırılabilir dosya (.exe dosyası) ile birlikte DLL (Dinamik Bağlantı Kütüphaneleri) adı verilen birçok destekleyici modülden oluşur.
Bu DLL’ler iki yerden gelmektedir:
- 1Uygulama DLL’leri:Yazılım üreticisi tarafından yazılmış ve gönderilmiştir. Bunlar, ana .exe dosyasıyla birlikte programın klasöründe saklanır.
- 2Sistem DLL’leri:Windows tarafından sağlanır, Windows sistem klasöründe saklanır.
CRYPTBASE.dllbunlardan biridir ve sayısız Windows uygulaması tarafından kullanılır.
Windows, bir program bir DLL’e ihtiyaç duyduğunda, DLL’i nasıl bulur?
Bir program bir DLL’yi isimle yüklemesi gerektiğinde, Windows bunu aşağıdaki sırayla arar (okunabilirlik için basitleştirilmiştir):
Windows tarafından tutulan küçük bir korumalı listeye KnownDLLs denir.
Programın klasörü
Windows sistem klasörü
CRYPTBASE.dll bir sistem DLL’sidir, ancak KnownDLLs listesinde yer almamaktadır. Bu, bir program adını istediğinde Windows’un önce programın klasörüne bakacağı ve eğer o isimde bir dosya bulunamazsa yalnızca sistem klasörüne geçeceği anlamına gelir.
Bu arama davranışı, tasarım gereği on yıllardır Windows’un bir parçası ve her Windows uygulaması, Chrome, Microsoft Office, Steam, Notepad++, X-VPN ve platformdaki neredeyse her diğer program bunun altında çalışıyor.
Raporun Saldırı Senaryosu
Rapor, yukarıda bahsedilen arama davranışının kötü niyetli kod çalıştırmak için nasıl istismar edilebileceğini açıklamaktadır. Önemli olan, bunun X-VPN istemcisindeki bir açığı hedef almadığı, tamamen kullanıcının resmi olmayan bir kaynaktan değiştirilmiş, yeniden paketlenmiş bir X-VPN sürümünü çalıştırmaya kandırılmasına dayandığıdır.
Saldırı şu şekilde devam ediyor:
- Bir saldırgan, resmi web sitemizden meşru X-VPN program dosyalarını alır, klasörün içine kötü niyetli
CRYPTBASE.dlldosyasını yerleştirir ve tüm klasörü dağıtım için yeniden paketler. - Saldırgan, bu değiştirilmiş paketi resmi olmayan kanallar, oltalama siteleri, korsan forumlar, dosya paylaşım bağlantıları veya istenmeyen mesajlar aracılığıyla dağıtır ve genellikle X-VPN’in “taşınabilir” bir sürümü olarak gizlenir.
- Bir kullanıcı bu değiştirilmiş paketi indirip çalıştırmaya kandırılır.
- Paketlenmiş .exe başlatıldığında ve DLL’lerini yüklemeye başladığında, bu DLL’lerden biri sonunda
CRYPTBASE.dlldosyasını adıyla talep eder. Yukarıda açıklanan arama süreci sonucunda, Windows saldırganın yerleştirdiği dosyayı programın klasörü içinde bulur ve yükler. Saldırganın kodu kullanıcının oturumu içinde çalıştırılır.
Bu zincirin tamamı, kullanıcının önce değiştirilmiş bir X-VPN kopyasını çalıştırmasına bağlıdır. Resmi kaynaklardan X-VPN yükleyen kullanıcılar için:
- Resmi X-VPN yükleyicisi yalnızca meşru, imzalı dosyalar içerir, gerçek bir kurulum sırasında kurulum klasörüne asla kötü niyetli DLL’ler yerleştirilmez.
- Kurulumdan sonra, X-VPN program klasörü Windows tarafından korunur ve değiştirmek için yönetici ayrıcalıkları gerektirir, bu da sıradan işlemlerin veya kullanıcıların daha sonra içine kötü niyetli bir DLL bırakmasını engeller.
Saldırı, zaten güvenilir olmayan bir kaynaktan saldırgan tarafından sağlanan yazılımı çalıştırmaya kandırılmış bir kullanıcıyı istismar eder.
Bu X-VPN ile nasıl ilişkilidir
Bu rapor, X-VPN Windows istemcisindeki bir CWE-427 (Kontrolsüz Arama Yolu Elemanı) sorununu ele almaktadır. Birçok Windows uygulamasında olduğu gibi, X-VPN daha önce belirli DLL bağımlılıklarını yüklerken katı yol veya imza kontrollerini uygulamamıştır; bu, CWE-427 tarafından tanımlanan temel davranıştır. Bunu, daha katı DLL yükleme politikaları, başlangıç zamanı bütünlük doğrulaması ve güçlendirilmiş dizin izinleri ile 77.5.3 sürümünde ele aldık. Bu tür sorunları nasıl sınıflandırıp derecelendireceğimiz, güvenlik topluluğunda devam eden bir tartışma konusudur; bu, Notepad++’a karşı yapılan son CVE-2025-56383 raporunu da içermektedir.
Raporun pratikte tanımladığı şey, X-VPN’in tanınabilir bir marka olarak kullanıldığı ve aynı aktör tarafından benzer şekillerde yeniden paketlenen diğer meşru yazılımlarla birlikte, kurbanları değiştirilmiş yazılımları çalıştırmaya kandırmak için bir kötü amaçlı yazılım taklit kampanyasıdır.
Etkilenen Kapsam
Bir kullanıcının etkilenip etkilenmediği tamamen X-VPN kopyasının nereden geldiğine bağlıdır. Aşağıdaki tablo kapsamı özetlemektedir:
X-VPN Nasıl Elde Edildi | Etkilendi mi? |
|---|---|
Resmi X-VPN Windows indirme sayfasından (https://xvpn.io/download/vpn-win) indirildi ve kuruldu. | ❌ Etkilenmedi |
Microsoft Store’dan indirildi | ❌ Etkilenmedi |
Bir korsan siteden veya bilinmeyen bir bağlantıdan “taşınabilir” bir sürüm olarak indirildi. | ⚠️ Potansiyel olarak etkilenen |
Bilinmeyen bir gönderen tarafından bir yükleyici veya paket olarak alındı. | ⚠️ Potansiyel olarak etkilenen |
Nasıl Düzeltik
X-VPN, Windows istemcisindeki bu DLL yan yükleme senaryosunu ele almak için 77.5.3 sürümünde kapsamlı sertleştirme önlemleri uygulamıştır. Bu sertleştirme önlemleri artık X-VPN for Windows 77.5.3 sürümünde mevcuttur. Sertleştirme önlemlerimiz, her tür DLL’nin nasıl yüklendiğini ele alan iki kategoriye ayrılmaktadır.
1. Sistem DLL’lerinin daha sıkı yüklenmesi
CRYPTBASE.dll gibi Sistem DLL’leri artık X-VPN program klasöründe hangi dosyaların bulunduğuna bakılmaksızın Windows sistem klasöründen yüklenmektedir. Bu, yükleme zincirinin her seviyesindeki sistem DLL’leri için geçerlidir. Sonuç olarak, kötü niyetli bir DLL bir şekilde X-VPN program klasörüne yerleştirilse bile, istemci bunun meşru sistem dosyasının yerine yüklenmesini önlemek için tasarlanmıştır.
2. Uygulama DLL’leri için çok katmanlı koruma
X-VPN’in kendi uygulama DLL’leri, zorunlu olarak program klasöründen yüklenmelidir, Windows’un bir parçası değildir ve sistem yolu eşdeğeri yoktur. Bu DLL’lerin değiştirilmesini veya yer değiştirilmesini önlemek için üç bağımsız savunma katmanı uyguladık:
- Dizin erişim kontrolleri. X-VPN kurulum klasörü, değiştirmek için yönetici ayrıcalıkları gerektiren Windows dosya sistemi izinleriyle korunmaktadır. Yükseltilmiş haklar olmadan bu klasöre bir DLL yazmaya çalışan herhangi bir işlem, işletim sistemi tarafından engellenir.
- Başlangıçta hash beyaz liste doğrulaması. X-VPN her başlatıldığında, istemci program klasöründeki her DLL’yi özyinelemeli olarak tarar ve bunu bilinen iyi bir hash listesi ile doğrular. Eğer herhangi bir DLL beyaz listede yoksa veya hash’i beklenen değerle eşleşmiyorsa, istemci çalışmaya devam etmeyi reddeder. Bu hash listesi, ayrı bir dosya olarak saklanmak yerine doğrudan X-VPN yürütülebilir dosyasına derlenmiştir, bu da onun, imzalı X-VPN ikili dosyasını değiştirmeden kendi başına değiştirilmesini engeller; bu da dijital imzayı geçersiz kılacaktır.
- Katı DLL yükleme politikaları her işlem için uygulanır. Her X-VPN işlemi, başlangıçta sertleştirilmiş DLL yükleme kurallarını uygular, DLL’lerin nereden yüklenebileceğini ve hangi kaynakların güvenilir olduğunu kısıtlar.
Bu önlemler, X-VPN program klasörüne kötü niyetli bir dosya yerleştirmenin baştan itibaren son derece zor olmasını sağlamaya yardımcı olur, ancak bir saldırganın bunu başardığı varsayımsal senaryoda bile, istemci müdahaleyi tespit edecek ve çalıştırmayı reddedecek şekilde tasarlanmıştır. Proaktif, katmanlı savunmaların uygulanmaya değer olduğuna inanıyoruz; hem bu raporda tanımlanan belirli senaryoyu ele almak hem de X-VPN Windows istemcisini benzer saldırı desenlerine karşı daha geniş bir şekilde güçlendirmek için.
Kullanıcıların Yapması Gerekenler
Windows için X-VPN’i 77.5.3 veya daha yeni bir sürüme güncelleyin.
Bu sürüm, bu açıklamada belirtilen ek güçlendirme önlemlerini içermektedir. Bunu Resmi Windows indirme sayfamızdan indirebilirsiniz.
X-VPN’i yalnızca resmi kaynaklardan indirin.
Lütfen X-VPN’i resmi Windows indirme sayfamızdan, Microsoft Store‘dan veya platformunuzun resmi uygulama mağazasından indirin. Üçüncü taraf indirme sitelerinden, dosya paylaşım bağlantılarından veya e-posta veya mesajlaşma uygulamaları aracılığıyla alınan yükleyicilerden kaçının.
“Taşınabilir” veya “kırılmış” X-VPN sürümlerine dikkat edin.
X-VPN, Windows istemcimizin herhangi bir taşınabilir sürümünü resmi olarak dağıtmamaktadır, çevrimiçi bulunan böyle bir paket güvensiz olarak değerlendirilmelidir.
Eğer X-VPN’i resmi olmayan bir kaynaktan yüklediğinizi düşünüyorsanız
Bunu kaldırın ve Resmi Windows indirme sayfasından resmi sürümü yeniden yükleyin.
Güvenliğe Olan Taahhüdümüz
Cyderes’teki Howler Cell Tehdit Araştırma Ekibine, bu raporu sorumlu bir açıklama süreci aracılığıyla dikkatimizi çektiği için teşekkür ederiz. Analiz, Reegun Jayapaul ve Rahul Ramesh tarafından yazılmıştır. Bu açıklamayı kapsayan araştırma blogları şu anda mevcuttur. Ekibin araştırmalarına harcadığı zaman ve çabayı gerçekten takdir ediyoruz ve bu tür koordineli açıklamaların tüm güvenlik topluluğuna fayda sağladığına inanıyoruz.
X-VPN, bağımsız güvenlik araştırmacılarından gelen geri bildirimleri memnuniyetle karşılamaktadır. Eğer herhangi bir X-VPN ürününü etkileyen bir güvenlik sorunu keşfettiğinizi düşünüyorsanız, bulgularınızı Hata Ödül Programımız aracılığıyla göndermenizi teşvik ediyoruz; geçerli ve yeniden üretilebilir raporlar, her X-VPN istemcisinin güvenliğini güçlendirmemize yardımcı olan maddi ödüllere uygun olmaktadır. Resmi bir zafiyet bildirimi için uygun olmayabilecek güvenlik endişeleri veya olağandışı davranışlar için, güvenlik ekibimize doğrudan security@xvpn.io adresinden ulaşabilirsiniz. Tüm raporlar güvenlik ekibimiz tarafından incelenmektedir ve mümkün olan en kısa sürede yanıt veriyoruz.
Güvenlik tek seferlik bir çaba değildir. Kullanıcılarımızı korumaya yönelik sürekli müşteri güçlendirmesi, şeffaf iletişim ve araştırma topluluğu ile aktif etkileşim yoluyla yatırım yapmaya devam edeceğiz. Bu tür raporlar, gelişmemize yardımcı olur ve her birini hak ettikleri açıklık ve ciddiyetle ele alma taahhüdünde bulunuyoruz.
Kullanıcılarımızın X-VPN’e duyduğu güven, ciddiye aldığımız bir şeydir ve bunu kazanmak, memnuniyetle karşıladığımız sürekli bir sorumluluktur.
SSS
X-VPN şu anda kullanmak için güvenli mi?
Evet. Windows indirme sayfamızdan veya Microsoft Store’dan indirilen resmi X-VPN Windows istemcisi kullanmak için güvenlidir. Güvenlik raporu, saldırganların X-VPN’i kötü niyetli bir DLL ile yeniden paketleyip değiştirilmiş sürümü resmi olmayan kanallar aracılığıyla dağıttığı bir senaryoyu tanımlamaktadır. Resmi kaynaklarımızdan X-VPN’i yükleyen kullanıcılar, bildirilen değiştirilmiş paket senaryosundan etkilenmemiştir.
X-VPN Windows DLL yan yükleme sorunu ele alındı mı?
Evet. X-VPN, DLL yan yükleme ve ilgili saldırı desenlerine karşı kapsamlı güçlendirme önlemleri uygulamıştır. Bu önlemler, artık mevcut olan X-VPN for Windows sürüm 77.5.3 ile başlamaktadır. Bunlar, sistem DLL’leri için daha katı yükleme kurallarını (örneğin, CRYPTBASE.dll, artık yalnızca Windows sistem dizininden yüklenmektedir), X-VPN kurulum klasöründeki her DLL için başlangıç zamanı hash doğrulamasını ve her işlem düzeyinde uygulanan katı DLL yükleme politikalarını içermektedir. Doğrulama için kullanılan hash beyaz listesi, doğrudan X-VPN yürütülebilir dosyasına gömülüdür, bu nedenle bağımsız olarak değiştirilmesi mümkün değildir.
X-VPN kurulumum hacklendi mi?
X-VPN kurulumunuzun etkilenip etkilenmediği, sürümünüze ve nasıl elde ettiğinize bağlıdır. Üç yaygın senaryo:
Senaryo 1: Geçerli bir dijital imzaya sahip 77.5.3 veya daha yeni bir sürüm çalıştırıyorsanız.
Etkilenmedi. Sürüm 77.5.3, bu tür bir saldırıyı önleyen güçlendirmeleri içerir. Sürümünüzü uygulama içinde doğrulayabilir ve .exe dosyasına sağ tıklayıp Özellikler → Dijital İmzalar ile çalıştırılabilir dosyanın imzasını onaylayabilirsiniz.
Senaryo 2: Resmi bir kaynaktan indirildi ve varsayılan konuma kurulduysa.
Etkilenmedi. Varsayılan kurulum klasörü, değiştirmek için yönetici ayrıcalıkları gerektirir, bu da sıradan süreçlerin içine kötü niyetli bir DLL yerleştirmesini engeller.
Senaryo 3: Resmi bir kaynaktan indirildi, ancak 77.5.3’ten daha eski bir sürüm çalıştırılıyor, varsayılan olmayan bir konuma kuruldu ve cihazda başka kötü niyetli yazılımlar mevcut.
Bu kombinasyon altında, teorik olarak diğer kötü niyetli yazılımların X-VPN klasörüne değiştirilmiş bir DLL yerleştirmiş olması mümkündür. Bu yolu kapatmak için 77.5.3 veya daha yeni bir sürüme güncellemeyi şiddetle öneriyoruz; bu, daha sıkı dizin izinleri, DLL bütünlük doğrulaması ve işlem başına yükleme politikaları ile sağlanmaktadır.
Hangi senaryonun geçerli olduğundan emin değilseniz, en güvenli eylem, xvpn.io/download/vpn-win adresinden en son resmi sürümü kaldırmak ve yeniden yüklemektir.
CVE-2025-56383 nedir ve X-VPN’in sorunu aynı mı?
CVE-2025-56383, Notepad++’a karşı bir DLL yan yükleme raporudur ve güvenlik topluluğundaki birçok taraf tarafından resmi olarak itiraz edilmiştir. İtiraz, bu tür bir sorunun nasıl sınıflandırılacağı ve derecelendirileceği etrafında dönmüştür, çünkü istismar, bir saldırganın önce kötü niyetli bir dosyayı programın klasörüne yerleştirmesini gerektirir – bu da pratikte kullanıcının genellikle güvenilmeyen bir kaynaktan değiştirilmiş yazılım çalıştırmaya kandırıldığı anlamına gelir.
X-VPN raporu aynı sınıftaki sorunu tanımlamaktadır: CWE-427 (Kontrolsüz Arama Yolu Elemanı), varsayılan olarak X-VPN’ın, birçok Windows uygulaması gibi, belirli DLL bağımlılıklarını yüklerken katı yol veya imza kontrollerini zorlamadığını yansıtmaktadır. Bu, sürüm 77.5.3’te ele aldığımız gerçek bir sorundur; bu sürüm, yalnızca güvenilir konumlardan DLL bağımlılıklarının yüklenmesini sağlamak için katı DLL yükleme politikaları, başlangıç zamanı bütünlük doğrulaması ve güçlendirilmiş dizin izinleri getirmektedir. Temel sorunun endüstri genelinde nasıl sınıflandırıldığına odaklanmak yerine, kullanıcılarımız için riski anlamlı bir şekilde azaltan korumalar sunmaya öncelik verdik.
X-VPN’e bir güvenlik sorunu nasıl bildirebilirim?
Güvenlik araştırmacıları ve kullanıcılar, X-VPN’e güvenlik sorunlarını iki kanaldan bildirebilir:
– Maddi ödüllere uygun resmi güvenlik açıkları raporları için: Hata Ödül Programımız aracılığıyla gönderin
– Genel güvenlik endişeleri, şüpheli davranışlar veya sorular için: güvenlik ekibimize security@xvpn.io adresinden e-posta gönderin
Tüm raporlar güvenlik ekibimiz tarafından incelenir ve mümkün olan en kısa sürede yanıt verilir.
