Microsoft Defender помечает сертификаты DigiCert как вредоносное ПО

На прошлой неделе Microsoft Defender отметил два самых надежных корневых сертификата в Интернете как вредоносные программы, что привело к широкомасштабным сбоям в корпоративных средах Windows. Ложное срабатывание началось 30 апреля, когда в обновлении сигнатур Defender появилось обнаружение, помеченное как Trojan:Win32/Cerdigent.A!dha. Вместо того, чтобы поймать вредоносное ПО, оно неправильно сопоставило криптографические хэши двух корневых сертификатов DigiCert, присутствующих практически на каждой используемой сегодня машине Windows.

Затронутые сертификаты: DigiCert Assured ID Root CA, отпечаток пальца 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43, и DigiCert Trusted Root G4, отпечаток пальца DDFB16CD4931C973A2037D3FC83A4D7D775D05E4. Оба сертификата уже много лет находятся в хранилище доверия Windows и используются для проверки SSL/TLS-соединений, операций подписания кода и вызовов API в миллионах корпоративных и потребительских систем. Когда Defender поместил их в карантин, эти цепочки проверки нарушились. Некоторые администраторы потратили несколько часов на диагностику сбоев в работе служб, прежде чем выявили причину. Другие, увидев, что в их консоли безопасности появилось сообщение об обнаружении троянца, полностью переустановили свою операционную систему.

Что стало причиной

Ложное срабатывание связано с реальным инцидентом в компании DigiCert. В начале апреля злоумышленники использовали вредоносный ZIP-файл, замаскированный под скриншот экрана клиента, чтобы скомпрометировать две конечные точки команды поддержки компании, используя неправильно настроенное развертывание EDR на одной машине, которая не смогла поймать первоначальную доставку. Злоумышленники получили доступ к внутреннему порталу поддержки DigiCert и получили коды инициализации для ограниченного количества сертификатов EV с кодовой подписью. В течение 24 часов компания DigiCert выявила и отозвала 60 сертификатов, включая те, которые были связаны с кампанией по распространению вредоносного ПО Zhong Stealer.

Компания Microsoft быстро перешла к обнаружению в Defender, чтобы защитить пользователей от вредоносного ПО, подписанного с помощью скомпрометированных сертификатов. Логика обнаружения, которую она применила, была слишком широкой. Она улавливала легитимные корневые центры сертификации DigiCert наряду с отозванными сертификатами кодовой подписи, вызывая карантинные действия в системах Windows, которые не совершили ничего плохого. "Ранее сегодня мы определили, что ложные положительные предупреждения срабатывали ошибочно, и обновили логику предупреждений", - сообщили BleepingComputer в Microsoft. Исправление поставляется в обновлении Security Intelligence 1.449.430.0. Системы, применившие обновление, автоматически восстановили свои сертификаты. Администраторам в средах с ограниченными политиками обновления пришлось проверять восстановление вручную с помощью certutil -store AuthRoot | findstr -i "digicert".

Что делать, если Вы все еще затронуты проблемой

Некоторые пользователи сообщили, что все еще видят на экране Trojan:Win32/Cerdigent.A!dha предупреждение в определении версии 1.449.446.0, что говорит о том, что исправление не полностью распространилось по всем путям доставки определений. Microsoft рекомендует обновить Defender до последней доступной версии Security Intelligence через Настройки, затем Безопасность Windows, затем Защита от вирусов и угроз, затем Обновления защиты. Запуск Windows Update и перезагрузка машины должны завершить восстановление сертификатов, помещенных в карантин. Компания DigiCert подтвердила в своем блоге, что сертификаты, некорректно удаленные Defender, должны восстановиться автоматически после применения обновления, и что более широкой компрометации сертификатов, учетных записей или систем клиентов не произошло.

Это еще один значительный сбой, связанный с обновлениями Microsoft, произошедший в апреле и мае, после KB5083769 с зацикливанием загрузки на машинах HP и Dell, принудительным обновлением до Windows 11 25H2 и тем же обновлением, нарушающим работу сторонних инструментов резервного копирования от Acronis и Macrium. Notebookcheck рассказал о KB5083769 ситуация.