Microsoft Defender flaggar DigiCert-certifikat som skadlig kod

Microsoft Defender flaggade två av de mest betrodda rotcertifikaten på internet som skadlig kod förra veckan, vilket orsakade omfattande störningar i Windows-miljöer på företag. Det falska positiva resultatet började den 30 april, när en Defender-signaturuppdatering introducerade en upptäckt märkt Trojan:Win32/Cerdigent.A!dha. Istället för att fånga upp skadlig kod matchade den felaktigt de kryptografiska hasharna för två DigiCert-rotcertifikat som finns på praktiskt taget alla Windows-maskiner som används idag.

De berörda certifikaten är DigiCert Assured ID Root CA, tumavtryck 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43, och DigiCert Trusted Root G4, tumavtryck DDFB16CD4931C973A2037D3FC83A4D7D775D05E4. Båda har funnits i Windows Trust Store i flera år och används för att validera SSL/TLS-anslutningar, kodsigneringsoperationer och API-anrop i miljontals företags- och konsumentsystem. När Defender satte dem i karantän bröts dessa valideringskedjor. Vissa administratörer tillbringade timmar med att diagnostisera servicefel innan de identifierade orsaken. Andra, som såg en Trojan-detektering visas i sin säkerhetskonsol, installerade om operativsystemet helt och hållet.

Vad som orsakade det

Det falska positiva är kopplat till en verklig incident på DigiCert. I början av april använde angripare en skadlig ZIP-fil förklädd som en kundskärmdump för att kompromissa med två supportteamets slutpunkter på företaget och utnyttjade en felkonfigurerad EDR-distribution på en maskin som inte lyckades fånga den första leveransen. Angriparna fick tillgång till DigiCerts interna supportportal och erhöll initialiseringskoder för ett begränsat antal EV-kodsigneringscertifikat. DigiCert identifierade och återkallade 60 certifikat, inklusive de som var kopplade till Zhong Stealer-kampanjen, inom 24 timmar.

Microsoft agerade snabbt för att pusha Defender-detektioner för att skydda kunder från skadlig kod som signerats med de komprometterade certifikaten. Den detekteringslogik som användes var för bred. Den fångade de legitima DigiCert-rotcertifikatutfärdarna tillsammans med de återkallade kodsigneringscertifikaten, vilket utlöste karantänåtgärder på Windows-system som inte hade gjort något fel. "Tidigare idag bestämde vi att falska positiva varningar felaktigt utlöstes och uppdaterade varningslogiken", sa Microsoft till BleepingComputer. Fixen skickades i Security Intelligence-uppdatering 1.449.430.0. System som tillämpade uppdateringen fick automatiskt sina certifikat återställda. Administratörer i miljöer med begränsade uppdateringspolicyer var tvungna att verifiera återställningen manuellt med certutil -store AuthRoot | findstr -i "digicert".

Vad du ska göra om du fortfarande är drabbad

Vissa användare rapporterade att de fortfarande såg Trojan:Win32/Cerdigent.A!dha på definitionsversion 1.449.446.0, vilket tyder på att korrigeringen inte spreds fullt ut över alla leveransvägar för definitioner. Microsofts rekommendation är att uppdatera Defender till den senaste tillgängliga Security Intelligence-versionen via Inställningar, sedan Windows Security, sedan Virus- och hotskydd, sedan Skyddsuppdateringar. Genom att köra Windows Update och starta om maskinen bör återställningen av certifikaten i karantän slutföras. DigiCert har bekräftat på sin blogg att certifikat som felaktigt tagits bort av Defender bör återställas automatiskt när uppdateringen har tillämpats och att ingen bredare kompromiss med kundcertifikat, konton eller system inträffade.

Detta är ännu en betydande Microsoft-uppdateringsrelaterad störning i april och maj, efter KB5083769 på HP- och Dell-maskiner, den påtvingade uppgraderingen till Windows 11 25H2 och samma uppdatering som förstörde tredjepartsverktyg för säkerhetskopiering från Acronis och Macrium. Notebookcheck har täckt KB5083769 situationen.