Microsoft Defender ошибочно помечает сертификаты DigiCert как троян

Microsoft Defender помечает легитимные корневые сертификаты DigiCert как Trojan:Win32/Cerdigent.A!dha, что приводит к многочисленным ложным срабатываниям и в некоторых случаях даже к удалению сертификатов из Windows.

В соответствии с заявлению эксперта по кибербезопасности Флориана Рота, проблема впервые появилась после того, как Microsoft добавила эти обнаружения в апдейт сигнатур Defender 30 апреля.

Теперь IT-администраторы по всему миру стартовали сообщать о том, что записи корневых сертификатов DigiCert были помечены как вредоносное ПО и на затронутых системах удалены из хранилища доверенных сертификатов Windows.

В соответствии с сообщению на Reddit о ложных срабатываниях, обнаруженные сертификаты следующие:

• 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43;

• DDFB16CD4931C973A2037D3FC83A4D7D775D05E4.

На затронутых системах эти сертификаты были удалены из хранилища AuthRoot в следующем ключе реестра:

HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\

Эти ложные срабатывания вызвали беспокойство среди пользователей Windows, некоторые из которых посчитали, что их устройства заражены, и переустановили ОС для безопасности. Сообщается, что Microsoft исправила обнаружение в обновлении Security Intelligence версии 1.449.430.0, а последнее обновление теперь имеет версию 1.449.431.0.

Другие сообщения на Reddit указывают на то, что исправление также восстанавливает ранее удалённые сертификаты на затронутых системах.

Обновления Microsoft Defender будут установлены автоматически, а пользователи Windows могут принудительно установить их вручную, перейдя в раздел «Защита Windows» > «Безопасность от вирусов и угроз» > «Обновления защиты» и нажав «Проверить наличие обновлений».

Microsoft подтвердила, что ложные срабатывания были связаны с обнаружением скомпрометированных сертификатов в результате недавней утечки данных DigiCert.

«После сообщений о скомпрометированных сертификатах Microsoft Defender немедленно добавила в наше антивирусное программное обеспечение Defender функции обнаружения вредоносных программ, чтобы помочь защитить клиентов. Ранее сегодня мы определили, что ложные срабатывания были ошибочными, и обновили логику оповещений», — сообщила компания.

Там отметили, что теперь клиентам следует апдейтнуть Security Intelligence до версии 1.449.430.0 или более поздней, но никаких дополнительных действий не требуется. 

Ложные срабатывания произошли вскоре после раскрытого инцидента безопасности DigiCert, который позволил злоумышленникам получить действительные сертификаты подписи кода, используемые для подписи вредоносного ПО.

«Инцидент с вредоносным ПО был направлен на сотрудника службы поддержки клиентов. После обнаружения вектор угрозы был локализован. Наше последующее расследование показало, что злоумышленник смог получить коды инициализации для ограниченного числа сертификатов подписи кода, некоторые из которых затем были использованы для подписи вредоносного ПО», — поясняется в сообщении об инциденте DigiCert.

Выявленные сертификаты аннулировали на протяжении 24 часов после обнаружения, а дата аннулирования была установлена ​​на дату их выдачи. 

Согласно отчёту DigiCert, в начале апреля злоумышленники атаковали сотрудников службы поддержки компании, создав тикеты, содержащие замаскированный под скриншот вредоносный ZIP-файл.

После нескольких попыток блокировки девайс одного анализ службы поддержки в конечном итоге было скомпрометировано, а затем и вторая система, что заметили не сразу из-за «пробела» в системе защиты конечных точек.

Используя доступ к взломанной среде поддержки, хакер применил функцию внутреннего портала поддержки DigiCert, которая позволяла сотрудникам просматривать учётные записи клиентов.

Хотя этот доступ был ограничен по масштабу, он раскрыл «коды инициализации» ранее одобренных, но не доставленных заказов на сертификаты EV-подписи кода.

«Наличие кода инициализации в сочетании с одобренным заказом в достаточной степени для получения итогового сертификата. Поскольку злоумышленник смог получить эти два элемента информации для ограниченного набора одобренных заказов, он смог получить сертификаты EV для подписи кода в контексте ряда учётных записей клиентов и центров сертификации», — пояснили в DigiCert.

Организация заявляет, что отозвала 60 сертификатов для подписи кода, включая 27, связанных с кампанией вредоносного ПО «Zhong Stealer».

«11 были выявлены в отчётах о проблемах с сертификатами, предоставленных DigiCert членами сообщества, связывающими сертификаты с вредоносным ПО, и 16 были выявлены в процессе нашего собственного расследования», — пояснила компания.

Это согласуется с более ранними сообщениями исследователей безопасности, которые наблюдали использование недавно выданных сертификатов DigiCert EV в кампаниях вредоносного ПО и сообщали об этом в DigiCert. Такие сообщения поступали от Squiblydoo, MalwareHunterTeam и g0njxa. Для подписи вредоносного ПО использовались такие компании, как Lenovo, Kingston, Shuttle Inc и Palit Microsystems.

Вредоносное ПО — «Zhong Stealer» — больше похоже на троян удалённого доступа (RAT), чем на программу для кражи информации.

Оно распространялось с помощью следующих атак:

• фишинговые электронные письма с поддельным изображением или скриншотом;

• исполняемый файл первого этапа, отображающий изображение-приманку;

• получение полезной нагрузки второго этапа из облачного хранилища, такого как AWS;

• использование подписанных бинарных файлов и загрузчиков, включая компоненты, связанные с легитимными поставщиками.

Следует отметить, что сертификаты, отмеченные Microsoft Defender, являются корневыми в память доверенных сертификатов Windows и не соответствуют отозванным сертификатам подписи кода DigiCert.

Ранее сообщалось, что активизировались атаки с использованием вредоносной программы Gootloader. Она применяется для первоначального доступа в системы и задействует некорректно сформированный ZIP-архив. Он предназначен для обхода обнаружения вредоноса путём объединения до 1000 архивов.