Poważna awaria techniczna w programie Microsoft Defender wywołała powszechny niepokój w globalnej społeczności zajmującej się cyberbezpieczeństwem po tym, jak platforma błędnie zidentyfikowała legalne certyfikaty cyfrowe wydane przez firmę DigiCert jako złośliwe oprogramowanie. Błąd, który ujawnił się pod koniec kwietnia, doprowadził do fałszywych alarmów oznaczonych jako Trojan:Win32/Cerdigent.A!dha, a w niektórych przypadkach do automatycznego usunięcia kluczowych certyfikatów z systemów Windows.
Problem pojawił się po raz pierwszy po rutynowej aktualizacji informacji o bezpieczeństwie, która miała miejsce 30 kwietnia. Niedługo potem administratorzy systemów i specjaliści IT z różnych regionów zaczęli zgłaszać nietypowe alerty. Ostrzeżenia te wskazywały, że zaufane certyfikaty główne DigiCert — kluczowe elementy bezpiecznej komunikacji internetowej — były oznaczane jako trojany.
Wygląda na to, że wykrycia zbiegły się w czasie z aktualizacją sygnatur programu Defender. W miarę napływania kolejnych zgłoszeń stało się jasne, że problem nie miał charakteru punktowego, lecz dotykał zarówno środowisk korporacyjnych, sieci zarządzanych, jak i użytkowników indywidualnych.
Na komputerach, których problem dotyczył, oznaczone certyfikaty zostały nie tylko wykryte, ale także usunięte z magazynu zaufanych certyfikatów systemu Windows, a konkretnie ze ścieżki rejestru systemowego:
HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
Usunięcie tych certyfikatów może zakłócić działanie bezpiecznych połączeń, weryfikacji oprogramowania i szyfrowanej komunikacji — podstawowych funkcji nowoczesnych systemów operacyjnych.
Nagłe pojawienie się ostrzeżeń o złośliwym oprogramowaniu związanych z zaufanymi certyfikatami wywołało powszechne zamieszanie. Na forach internetowych, takich jak Reddit, użytkownicy udostępniali zrzuty ekranu z ostrzeżeniami programu Defender i opisywali swoje próby zwalczania infekcji, które, jak sądzili, były aktywne.
Niektóre osoby i organizacje podjęły drastyczne kroki, w tym całkowitą reinstalację systemu operacyjnego, obawiając się poważniejszego naruszenia bezpieczeństwa. W środowiskach korporacyjnych problem ten stanowił poważniejsze zagrożenie, potencjalnie zakłócając bezpieczną komunikację, przerywając łańcuchy zaufania aplikacji i utrudniając spełnienie wymogów zgodności.
W zgłoszeniach użytkowników wielokrotnie pojawiały się dwa odciski certyfikatów:
0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
DDFB16CD4931C973A2037D3FC83A4D7D775D05E4
Oba były legalnymi certyfikatami głównymi DigiCert, niezwiązanymi ze złośliwym oprogramowaniem.
Firma Microsoft rozwiązała ten problem poprzez aktualizację sygnatur programu Defender. Poprawione definicje zostały uwzględnione w pakiecie Security Intelligence w wersji 1.449.430.0, a następnie w nowszej wersji 1.449.431.0.
Aktualizacje te nie tylko zapobiegają błędnym wykryciom, ale według zgłoszeń użytkowników automatycznie przywracają również wcześniej usunięte certyfikaty. Systemy skonfigurowane do automatycznych aktualizacji powinny już otrzymywać poprawkę, natomiast aktualizacje ręczne można uruchomić poprzez:
- Zabezpieczenia systemu Windows → Ochrona przed wirusami i zagrożeniami → Aktualizacje zabezpieczeń → Sprawdź dostępność aktualizacji
Pomimo rozwiązania tego problemu, incydent ten wzbudził obawy dotyczące niezawodności automatycznych systemów wykrywania zagrożeń oraz potencjalnych konsekwencji fałszywych alarmów na dużą skalę.
Czas wystąpienia awarii programu Defender wzbudził zainteresowanie ze względu na jego zbieżność w czasie z niedawno ujawnionym naruszeniem bezpieczeństwa w firmie DigiCert. Chociaż firma Microsoft nie potwierdziła oficjalnie żadnego związku, może istnieć prawdopodobny związek między tymi zdarzeniami.
W swoim raporcie z incydentu firma DigiCert ujawniła, że na początku kwietnia atakujący zaatakowali jej wewnętrzne systemy wsparcia technicznego. Naruszenie rozpoczęło się od prób phishingu skierowanych przeciwko pracownikom działu obsługi klienta, polegających na wykorzystaniu złośliwych plików ZIP podszywających się pod zrzuty ekranu. Po wielu nieudanych próbach atakującym udało się przejąć kontrolę nad stacją roboczą jednego z analityków wsparcia, a następnie uzyskać dostęp do innego systemu dzięki temu, co firma DigiCert określiła jako „lukę w zabezpieczeniach” ochrony punktów końcowych.
Po uzyskaniu dostępu do systemu atakujący wykorzystali funkcję portalu wsparcia, która umożliwiała pracownikom przeglądanie kont klientów. Dostęp ten pozwolił im na pobranie „kodów inicjalizacyjnych” powiązanych z wcześniej zatwierdzonymi wnioskami o certyfikaty podpisywania kodu.
Według DigiCert:
„Posiadanie kodu inicjalizacyjnego w połączeniu z zatwierdzonym zamówieniem wystarcza do uzyskania wynikowego certyfikatu”.
Korzystając z tej metody, osoby odpowiedzialne za atak uzyskały ograniczoną liczbę certyfikatów podpisywania kodu z rozszerzoną weryfikacją (EV). Firma DigiCert potwierdziła później, że unieważniono 60 certyfikatów, w tym 27, które zostały już wykorzystane do podpisania złośliwego oprogramowania.
Jeszcze zanim firma DigiCert ujawniła publicznie ten incydent, badacze zajmujący się bezpieczeństwem zauważyli podejrzaną aktywność związaną z nowo wydanymi certyfikatami. Analitycy, tacy jak Squiblydoo, MalwareHunterTeam i g0njxa, poinformowali, że certyfikaty powiązane z głównymi markami sprzętu komputerowego – w tym Lenovo, Kingston, Shuttle Inc. i Palit Microsystems – były wykorzystywane w nieuprawniony sposób.
Kampania została powiązana z grupą zagrożeń zidentyfikowaną jako „GoldenEyeDog” (APT-Q-27), która prawdopodobnie działa z terytorium Chin.
Zainteresowane złośliwe oprogramowanie, nazwane „Zhong Stealer”, wydaje się funkcjonować bardziej jak trojan zdalnego dostępu (RAT) niż tradycyjny program do kradzieży informacji. Jego łańcuch ataku obejmuje:
- wiadomości phishingowe zawierające fałszywe obrazy lub zrzuty ekranu
- uruchomienie ładunku pierwszego etapu wyświetlającego treści przynętowe
- pobieranie dodatkowego złośliwego oprogramowania z usług w chmurze, takich jak AWS
- wykorzystanie plików binarnych podpisanych cyfrowo w celu uniknięcia wykrycia
Wykorzystanie ważnych certyfikatów znacznie zwiększa skuteczność takich kampanii, pozwalając złośliwym plikom ominąć ostrzeżenia bezpieczeństwa i sprawiać wrażenie godnych zaufania dla użytkowników i systemów.
Pomimo czasowego zbiegu okoliczności certyfikaty wykryte przez Microsoft Defender różnią się od tych, które zostały naruszone w wyniku ataku na DigiCert. Problem z Defenderem dotyczył certyfikatów głównych znajdujących się w magazynie zaufanych certyfikatów głównych systemu Windows, podczas gdy atak dotyczył certyfikatów EV do podpisywania kodu wydanych klientom.
To rozróżnienie sugeruje, że fałszywe alarmy mogą nie być bezpośrednią reakcją na naruszenie, ale mogą wynikać z nadmiernie agresywnej logiki wykrywania lub zmian heurystycznych wprowadzonych w jego następstwie.
Niemniej jednak ten zbieg okoliczności wywołał spekulacje w społeczności zajmującej się cyberbezpieczeństwem, czy algorytmy wykrywania firmy Microsoft zostały zaktualizowane w odpowiedzi na incydent w firmie DigiCert i nieumyślnie wpłynęły na niepowiązane certyfikaty.
W tym incydencie widać delikatną równowagę między proaktywnym wykrywaniem zagrożeń a stabilnością operacyjną. Chociaż szybkie aktualizacje są niezbędne do przeciwdziałania pojawiającym się zagrożeniom, błędy w definicjach sygnatur mogą wywołać efekt domina – zwłaszcza gdy wpływają na podstawowe elementy zabezpieczeń, takie jak certyfikaty główne.
Dla organizacji incydent ten podkreśla znaczenie wielowarstwowych strategii bezpieczeństwa, w tym monitorowania, mechanizmów weryfikacji kopii zapasowych oraz zdolności do szybkiego reagowania na fałszywe alarmy.
Podczas gdy zarówno Microsoft, jak i DigiCert kontynuują dochodzenia w sprawie swoich incydentów, cała branża zmaga się z wyzwaniami związanymi z utrzymaniem zaufania w coraz bardziej złożonym ekosystemie cyfrowym.
