O Microsoft Defender está identificando certificados raiz legítimos da DigiCert como Trojan:Win32/Cerdigent.A!dha, o que está gerando uma onda de alertas falsos positivos e, em alguns casos, removendo certificados do Windows.
Segundo o especialista em cibersegurança Florian Roth, o problema surgiu após a Microsoft incluir essas detecções em uma atualização de assinaturas do Defender em 30/04.
Hoje, administradores em todo o mundo começaram a relatar que entradas de certificados raiz da DigiCert foram sinalizadas como malware e, em sistemas afetados, removidas do repositório de confiança do Windows.
Em uma publicação no Reddit sobre os falsos positivos, os certificados detectados são:
0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
DDFB16CD4931C973A2037D3FC83A4D7D775D05E4
Nos sistemas impactados, esses certificados foram removidos do repositório AuthRoot sob esta chave do Registro:
Esses falsos positivos geraram preocupação entre usuários do Windows, com algumas pessoas acreditando que seus dispositivos haviam sido infectados e até reinstalando o sistema operacional por precaução.
Segundo relatos, a Microsoft corrigiu as detecções na atualização de inteligência de segurança versão 1.449.430.0, e a versão mais recente agora é 1.449.431.0.
Outros relatos no Reddit indicam que a correção também restaura os certificados que haviam sido removidos em sistemas afetados.
As novas atualizações do Microsoft Defender serão instaladas automaticamente, e usuários do Windows podem forçar a atualização manualmente acessando Segurança do Windows > Proteção contra vírus e ameaças > Atualizações de proteção e clicando em Verificar atualizações.
Os falsos positivos surgem pouco depois de um incidente de segurança divulgado pela DigiCert que permitiu que threat actors obtivessem certificados válidos de assinatura de código usados para assinar malware.
"Um incidente de malware teve como alvo um membro da equipe de suporte ao cliente.
Após a detecção, o vetor de ameaça foi contido", explica o relatório de incidente da DigiCert.
"Nossa investigação subsequente constatou que o threat actor conseguiu obter códigos de inicialização para um número limitado de certificados de assinatura de código, e alguns deles foram então usados para assinar malware."
"Os certificados identificados foram revogados em até 24 horas após a descoberta, e a data de revogação foi ajustada para a data de emissão.
Como medida de precaução, os pedidos pendentes dentro da janela de interesse foram cancelados.
Mais detalhes serão fornecidos em nosso relatório completo do incidente."
Segundo o relatório de incidente da DigiCert, os atacantes miraram a equipe de suporte da empresa no início de abril ao criar mensagens de suporte contendo um arquivo ZIP malicioso disfarçado de captura de tela.
Após várias tentativas bloqueadas, o dispositivo de um analista de suporte acabou sendo comprometido, seguido por um segundo sistema que ficou sem detecção por algum tempo devido a uma lacuna no sensor de proteção do endpoint.
Com acesso ao ambiente de suporte invadido, o hacker usou um recurso do portal interno de suporte da DigiCert que permitia à equipe visualizar contas de clientes a partir da perspectiva do próprio cliente.
Embora limitado, esse acesso expôs "códigos de inicialização" relacionados a pedidos de certificados EV de assinatura de código já aprovados, mas ainda não entregues.
"A posse de um código de inicialização, combinada com um pedido aprovado, é suficiente para obter o certificado resultante", explicou a DigiCert.
"Como o threat actor conseguiu obter esses dois elementos para um conjunto finito de pedidos aprovados, foi possível obter certificados EV de assinatura de código em várias contas de clientes e CAs."
A DigiCert afirma ter revogado 60 certificados de assinatura de código, incluindo 27 ligados a malware.
Antes de a DigiCert divulgar o incidente, pesquisadores de segurança já haviam observado certificados EV recém-emitidos da empresa sendo usados em campanhas de malware.
Pesquisadores como Squiblydoo, MalwareHunterTeam e g0njxa relataram que certificados emitidos para empresas conhecidas como Lenovo, Kingston, Shuttle Inc e Palit Microsystems estavam sendo usados para assinar malware.
"O que Lenovo, Kingston, Shuttle Inc e Palit Microsystems têm em comum?", publicou Squiblydoo no X.
"Certificados EV dessas empresas foram emitidos e usados por um grupo criminoso chinês, #GoldenEyeDog (#APT-Q-27)!"
O malware dessa campanha recebeu o nome de Zhong Stealer, embora a análise indique que ele pode se parecer mais com um trojan de acesso remoto, ou RAT, do que com um infostealer.
O pesquisador afirma que o malware foi distribuído por meio dos seguintes ataques:
E-mails de phishing entregam uma imagem falsa ou captura de tela
Um executável de primeira etapa exibe uma imagem de isca
Recuperação de um payload de segunda etapa a partir de armazenamento em nuvem, como AWS
Uso de binários e loaders assinados, incluindo componentes ligados a fornecedores legítimos
Após a divulgação do incidente pela DigiCert, os pesquisadores disseram que o relatório explica como os certificados usados nessas campanhas de malware foram obtidos.
Embora a Microsoft não tenha confirmado que as detecções do Defender sejam resultado do incidente da DigiCert, o timing e o foco em certificados relacionados à empresa sugerem uma possível conexão.
No entanto, vale destacar que os certificados sinalizados pelo Microsoft Defender são certificados raiz no repositório de confiança do Windows e não correspondem aos certificados de assinatura de código da DigiCert revogados e usados para assinar malware.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...