O Microsoft Defender, ferramenta de segurança integrada ao Windows, começou a detectar certificados raiz legítimos da DigiCert como malware na última semana. Em sistemas afetados, o software não apenas emitia alertas falsos, como chegou a remover os certificados do repositório de confiança do sistema operacional.
O problema surgiu após uma atualização de definições de vírus publicada pela Microsoft em 30 de abril. O especialista em segurança Florian Roth foi um dos primeiros a identificar e divulgar a questão. A partir de então, administradores de sistemas em todo o mundo começaram a reportar os alertas em fóruns como o Reddit.
smart_display
Nossos vídeos em destaque
O que o Defender estava detectando
A detecção foi catalogada como “Trojan:Win32/Cerdigent.A!dha”. Os certificados sinalizados tinham os identificadores “0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43” e “DFB16CD4931C973A2037D3FC83A4D7D775D05E4”.
)
Esses são certificados raiz, ou seja, arquivos usados pelo Windows para reconhecer quais autoridades de certificação são confiáveis. Sem eles, o sistema pode deixar de validar conexões seguras e softwares assinados digitalmente.
Nas máquinas afetadas, o Defender removeu as entradas correspondentes de uma chave específica do Registro do Windows, o banco de dados interno que armazena configurações do sistema operacional.
Usuários reinstalaram o sistema por engano
A falsa detecção gerou preocupação entre usuários comuns. Alguns, ao verem o alerta de “trojan”, concluíram que seus dispositivos estavam infectados e reinstalaram o sistema operacional completamente, uma medida desnecessária e que poderia ter sido evitada.
)
A confusão é compreensível, uma vez que o nome da detecção e a remoção automática de arquivos reproduzem exatamente o comportamento que um antivírus teria diante de uma ameaça real.
Microsoft corrigiu o problema e restaurou os certificados
A Microsoft lançou a correção na versão 1.449.430.0 das definições de segurança. A versão mais recente disponível no momento desta publicação era a 1.449.431.0. Segundo relatos no Reddit, a atualização não apenas interrompe os falsos positivos, como também restaura os certificados removidos nos sistemas afetados.
Usuários podem forçar a atualização manualmente pelo caminho: Segurança do Windows > Proteção contra vírus e ameaças > Atualizações de proteção > Verificar atualizações.
)
Em comunicado à imprensa, a Microsoft confirmou que a detecção equivocada foi suprimida remotamente e que organizações afetadas foram notificadas. Administradores de sistemas podem consultar o painel de saúde de serviços (SHD) no Microsoft 365 Admin Center para mais detalhes.
A origem do erro está na brecha no suporte da DigiCert
A detecção falsa está conectada a um incidente de segurança real na DigiCert, autoridade certificadora responsável pela emissão dos certificados em questão. O ataque teve início em abril, quando agentes maliciosos enviaram mensagens falsas ao suporte da empresa, com um arquivo ZIP disfarçado de captura de tela.
Após múltiplas tentativas bloqueadas, o dispositivo de um analista de suporte foi comprometido. Um segundo sistema também acabou infectado e permaneceu sem detecção por algum tempo por causa de uma falha na cobertura da ferramenta de proteção de endpoints. A partir desse acesso, o invasor utilizou uma funcionalidade interna do portal de suporte que permitia visualizar contas de clientes como se fosse o próprio cliente.
)
Como os atacantes obtiveram certificados válidos
Esse acesso expôs “códigos de inicialização” vinculados a pedidos de certificados de assinatura de código EV (Extended Validation) já aprovados, mas ainda não entregues.
Basicamente, um certificado EV de assinatura de código funciona como um selo de autenticidade para softwares, ele indica ao Windows que aquele programa foi produzido por uma empresa verificada.
)
Para obter um desses certificados, o atacante precisava apenas de duas coisas, um pedido aprovado e o código de inicialização correspondente. Com o acesso ao portal de suporte, tinha as duas.
A DigiCert afirma ter revogado 60 certificados comprometidos, sendo 27 deles associados a uma campanha do malware Zhong Stealer. Outros 11 foram identificados por pesquisadores externos que reportaram os certificados à empresa, e 16 foram descobertos na investigação interna.
Campanha usou nomes de empresas conhecidas
Pesquisadores de segurança como Squiblydoo, MalwareHunterTeam e g0njxa identificaram que os certificados roubados foram usados para assinar malware em nome de empresas como Lenovo, Kingston, Shuttle Inc. e Palit Microsystems. O grupo responsável foi identificado como GoldenEyeDog, também conhecido como APT-Q-27, de origem chinesa.
)
O malware distribuído nessa campanha é chamado de Zhong Stealer. Embora classificado originalmente como um infostealer (programa que rouba dados), análises técnicas indicam que ele opera mais como um trojan de acesso remoto.
A distribuição ocorria por e-mails de phishing com imagens falsas, seguidos de um executivo inicial que exibia uma imagem de distração enquanto buscava um segundo componente em serviços de armazenamento em nuvem como o AWS.
Vale ressaltar que os certificados raiz sinalizados erroneamente pelo Defender são diferentes dos certificados de assinatura de código revogados pela DigiCert. O erro da Microsoft foi detectar, como maliciosos, arquivos legítimos do repositório de confiança do Windows que não tinham relação direta com os certificados usados na campanha de malware.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
