$75.2288.06

Microsoft Defender принял легитимные сертификаты DigiCert за троян

Anti-Malware.ru

Microsoft Defender устроил администраторам неприятный сюрприз: антивирус начал определять легитимные корневые сертификаты DigiCert как Trojan:Win32/Cerdigent.A!dha. В некоторых случаях Защитник не просто показывал предупреждение, а удалял эти сертификаты из хранилища доверенных корневых сертификатов Windows.

Microsoft Defender принял легитимные сертификаты DigiCert за троян
© Global Look Press

По словам исследователя Флориана Рота, проблема появилась после обновления сигнатур Defender от 30 апреля.

Позже администраторы по всему миру начали сообщать, что записи DigiCert внезапно помечаются как вредоносные.

Под срабатывание попали два сертификата:

  • 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
  • DDFB16CD4931C973A2037D3FC83A4D7D775D05E4

На затронутых системах они удалялись из ветки реестра:

HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\

Ситуация быстро вызвала панику: некоторые пользователи решили, что их устройства действительно заражены, и даже переустанавливали Windows на всякий случай.

Microsoft уже подтвердила, что речь идёт о ложном срабатывании. По словам компании, детект был связан с недавним инцидентом у DigiCert, когда злоумышленники смогли получить действительные сертификаты и использовать их для подписи вредоносных программ. Defender оперативно добавил новые правила обнаружения, но логика сработала слишком широко и зацепила легитимные корневые сертификаты.

Ошибка исправлена в обновлении Security Intelligence 1.449.430.0 и более новых версиях. По сообщениям пользователей, свежие обновления также восстанавливают ранее удалённые сертификаты.

Проверить наличие обновлений можно вручную. В Microsoft подчёркивают, что после установки актуальных сигнатур дополнительных действий от пользователей не требуется.

Инцидент связан с недавней атакой на DigiCert. По данным самой компании, злоумышленники атаковали сотрудника поддержки с помощью вредоносного ZIP-файла, замаскированного под скриншот.

В результате DigiCert отозвала 60 сертификатов, часть из которых была связана с кампанией Zhong Stealer. Исследователи ранее сообщали, что такие сертификаты использовались для подписи вредоносных загрузчиков и компонентов, выдавая их за ПО известных компаний.