A Microsoft Defender rosszindulatú szoftverként jelöli a DigiCert tanúsítványokat

A Microsoft Defender a múlt héten az internet két legmegbízhatóbb gyökértanúsítványát jelölte meg rosszindulatú szoftverként, ami széleskörű fennakadást okozott a vállalati Windows-környezetekben. A téves pozitív jelenség április 30-án kezdődött, amikor a Defender aláírásfrissítése bevezette a Trojan:Win32/Cerdigent.A!dha. Ahelyett, hogy rosszindulatú programot észlelt volna, tévesen egyezett meg két DigiCert gyökértanúsítvány kriptográfiai hash-jával, amelyek gyakorlatilag minden ma használt Windows-gépen jelen vannak.

Az érintett tanúsítványok a DigiCert Assured ID Root CA, 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 és a DigiCert Trusted Root G4, DDFB16CD4931C973A2037D3FC83A4D7D775D05E4. Mindkettő évek óta szerepel a Windows bizalmi tárolójában, és több millió vállalati és fogyasztói rendszerben használják őket SSL/TLS-kapcsolatok, kódaláírási műveletek és API-hívások érvényesítésére. Amikor a Defender karanténba helyezte őket, ezek az érvényesítési láncok megszakadtak. Néhány rendszergazda órákat töltött a szolgáltatási hibák diagnosztizálásával, mielőtt azonosította volna az okot. Mások, amikor a biztonsági konzoljukban megjelent a trójai vírus észlelése, teljesen újratelepítették az operációs rendszerüket.

Mi okozta

A hamis pozitív jelenség a DigiCertnél történt valós incidenshez kötődik. Április elején a támadók egy ügyfél képernyőképének álcázott rosszindulatú ZIP-fájlt használtak arra, hogy a vállalatnál a támogatói csapat két végpontját kompromittálják, kihasználva egy rosszul konfigurált EDR telepítést az egyik gépen, amely nem észlelte az eredeti szállítást. A támadók hozzáfértek a DigiCert belső támogatási portáljához, és korlátozott számú EV kódaláíró tanúsítvány inicializálási kódjait szerezték meg. A DigiCert 24 órán belül azonosított és visszavont 60 tanúsítványt, köztük a Zhong Stealer kártevő kampányhoz kapcsolódó tanúsítványokat.

A Microsoft gyorsan lépett, hogy a Defender észleléseket terjessze ki, hogy megvédje az ügyfeleket a veszélyeztetett tanúsítványokkal aláírt rosszindulatú szoftverektől. Az általa alkalmazott észlelési logika túl széleskörű volt. A visszavont kódaláíró tanúsítványok mellett a jogos DigiCert gyökér hitelesítésszolgáltatókat is elkapta, és karanténba helyezte a Windows-rendszereket, amelyek nem tettek semmi rosszat. "A mai nap folyamán megállapítottuk, hogy tévesen téves pozitív riasztásokat váltottunk ki, és frissítettük a riasztási logikát" - közölte a Microsoft a BleepingComputerrel. A javítást a Security Intelligence 1.449.430.0 frissítéssel szállították. A frissítést alkalmazó rendszerek tanúsítványai automatikusan helyreálltak. A korlátozott frissítési irányelvekkel rendelkező környezetek rendszergazdáinak manuálisan kellett ellenőrizniük a helyreállítást a certutil -store AuthRoot | findstr -i "digicert" segítségével.

Mi a teendő, ha még mindig érintett

Néhány felhasználó arról számolt be, hogy még mindig megjelenik a Trojan:Win32/Cerdigent.A!dha riasztást az 1.449.446.0 verziójú definíciók esetében, ami arra utal, hogy a javítás nem terjedt el teljesen az összes definíció-kiszállítási útvonalon. A Microsoft ajánlása szerint a Defender frissítése a legújabb elérhető Security Intelligence verzióra a Beállítások, majd a Windows Security, majd a Vírus- és fenyegetésvédelem, majd a Védelmi frissítések menüponton keresztül. A Windows Update futtatása és a gép újraindítása befejezi a karanténba helyezett tanúsítványok helyreállítását. A DigiCert a blogján megerősítette, hogy a Defender által helytelenül eltávolított tanúsítványoknak a frissítés alkalmazása után automatikusan vissza kell állniuk, és hogy nem történt szélesebb körű veszélyeztetés az ügyfelek tanúsítványaiban, fiókjaiban vagy rendszereiben.

Ez egy újabb jelentős Microsoft-frissítéssel kapcsolatos zavar áprilisban és májusban, miután a KB5083769 a HP és Dell gépeken előforduló boot loop probléma, a Windows 11 25H2-re történő kényszerfrissítés, valamint az Acronis és a Macrium harmadik féltől származó biztonsági mentési eszközeinek meghibásodása után. A Notebookcheck foglalkozott a KB5083769 helyzetet.