Масови аларми за „троянски“ сертификати в Windows
Потребители и системни администратори по света съобщават за необичайно поведение на Microsoft Defender, който започва да маркира легитимни root сертификати на DigiCert като Trojan:Win32/Cerdigent.A!dha.
В някои случаи защитният софтуер не само сигнализира за заплаха, но и премахва сертификати от Windows trust store, което предизвиква сериозни смущения в доверието към системата.
Как започва проблемът
Според изследователя Флориан Рот, засичането е започнало след Defender signature update от 30 април.
Скоро след това администратори започват да виждат, че root сертификати се маркират като злонамерени и се премахват от:
HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\Сред засегнатите сертификати са конкретни SHA-1 идентификатори, които са част от Windows trust инфраструктурата.
Реакция на Microsoft и временно решение
След първоначалните инциденти Microsoft публикува обновление, което коригира проблема:
- Security Intelligence версия 1.449.430.0 – съдържа fix
- Версия 1.449.431.0 – допълнителни корекции
Компанията потвърждава, че:
- False positive detection е бил погрешно активиран
- Засегнатите alerts са били потиснати и почистени
- В някои случаи премахнатите сертификати са били възстановени автоматично
Администраторите могат ръчно да обновят защитата чрез Windows Security → Virus & threat protection → Protection updates.
Връзка с инцидент при DigiCert
Ситуацията съвпада с отделно разкрит инцидент в DigiCert, при който нападатели са успели да получат достъп до вътрешни системи чрез социално инженерство.
Според официалния доклад:
- Атаката започва чрез фишинг с ZIP файл, маскиран като изображение
- Компрометирани са системи на служители в support екипа
- Използван е достъп до вътрешен портал за заявки за сертификати
- Изтекли са initialization codes за EV code-signing сертификати
DigiCert е отнела и ревокирала около 60 code-signing сертификата, част от които са били свързани с malware кампании.
Връзка с malware кампании и погрешни асоциации
След инцидента в DigiCert, изследователи откриват, че компрометирани EV сертификати са били използвани за подписване на зловреден софтуер, включително кампанията Zhong Stealer.
Тези атаки включват:
- Фишинг имейли
- Фалшиви изображения или decoy файлове
- Многостепенни payload-и
- Използване на легитимни cloud услуги за доставка
Някои сертификати са били издадени на познати компании като:
- Lenovo
- Kingston
- Shuttle Inc
- Palit Microsystems
Важно уточнение обаче е, че сертификатите, маркирани от Microsoft Defender, са root certificates, които не съвпадат с revoked code-signing сертификатите, използвани в malware кампаниите.
Какво всъщност се случи
Инцидентът изглежда като комбинация от два паралелни фактора:
1. Реален инцидент при DigiCert
- компрометирани code-signing сертификати
- използвани в malware кампании
2. Грешка в сигнатурите на Defender
- погрешно класифициране на root certificates като malware
- автоматично премахване от trust store
Резултатът е сериозен ефект върху доверената инфраструктура на Windows.
Рискове за организациите
Макар да е false positive, последиците могат да бъдат значителни:
- Счупени HTTPS доверителни вериги
- Проблеми с подписани приложения
- Невалидни сертификати в enterprise среди
- Паника и неправилни преинсталации
Инцидентът показва колко чувствителна е trust инфраструктурата в съвременните операционни системи. Една грешка в сигнатура може да има ефект, сравним с реална атака.
В същото време, реалният DigiCert инцидент подчертава друг проблем – компрометирани процеси за издаване на доверени сертификати, които могат да бъдат използвани в реални malware кампании.
