*Actualización: Se agregó la declaración de Microsoft al final de la primera sección de este artículo.* **Microsoft Defender** está detectando certificados raíz legítimos de **DigiCert** como **Trojan:Win32/Cerdigent.A!dha**, lo que resulta en alertas de falsos positivos generalizadas y, en algunos casos, la eliminación de certificados de Windows. Según un experto en ciberseguridad, el problema apareció por primera vez después de que **Microsoft** agregara las detecciones a una actualización de firmas de Defender el 30 de abril. Hoy, los administradores de todo el mundo comenzaron a informar que las entradas de certificados raíz de **DigiCert** fueron marcadas como malware y, en los sistemas afectados, eliminadas del almacén de confianza de Windows. Según una publicación de Reddit sobre los falsos positivos, los certificados detectados son: * 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 * DDFB16CD4931C973A2037D3FC83A4D7D775D05E4 En los sistemas afectados, estos certificados se eliminaron de la tienda AuthRoot bajo esta clave del Registro: HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\ Estos falsos positivos han generado preocupación entre los usuarios de Windows, y algunos pensaron que sus dispositivos estaban infectados y reinstalaron el sistema operativo por seguridad.  Se informa que **Microsoft** ha corregido las detecciones en la versión de actualización de Inteligencia de Seguridad **1.449.430.0**, y la actualización más reciente es ahora 1.449.431.0. Otros informes en Reddit indican que la corrección también restaura los certificados previamente eliminados en los sistemas afectados. Las nuevas actualizaciones de **Microsoft Defender** se instalarán automáticamente, y los usuarios de Windows pueden forzar manualmente una actualización yendo a **Seguridad de Windows** > **Protección contra virus y amenazas** > **Actualizaciones de protección** y haciendo clic en **Buscar actualizaciones**. Después de publicar este artículo, **Microsoft** confirmó que los falsos positivos estaban vinculados a detecciones de certificados comprometidos de una reciente brecha de **DigiCert**. "Tras los informes de certificados comprometidos, **Microsoft Defender** agregó inmediatamente detecciones de malware en nuestro software antivirus Defender para ayudar a mantener a los clientes protegidos. Hoy temprano determinamos que se activaron falsas alertas de positivos por error y actualizamos la lógica de alertas", dijo **Microsoft** a BleepingComputer. "**Microsoft Defender** suprimió y limpió las alertas para los entornos de los clientes. Los clientes deben actualizar a la versión 1.449.430.0 o posterior de Inteligencia de Seguridad, pero no necesitan tomar medidas adicionales para estas alertas. Hemos notificado a las organizaciones afectadas y recomendamos a los administradores que busquen más detalles en el panel de estado del servicio (SHD) dentro del centro de administración de M365." ## Vinculado a la reciente brecha de DigiCert Los falsos positivos ocurren poco después de un incidente de seguridad de **DigiCert** divulgado que permitió a los actores de amenazas obtener certificados válidos de firma de código utilizados para firmar malware. "Un incidente de malware se dirigió a un miembro del equipo de soporte al cliente. Tras la detección, el vector de amenaza fue contenido", explica el informe de incidente de **DigiCert**. "Nuestra investigación posterior encontró que el actor de amenazas pudo obtener códigos de inicialización para un número limitado de certificados de firma de código, pocos de los cuales se utilizaron para firmar malware." "Los certificados identificados fueron revocados dentro de las 24 horas posteriores al descubrimiento y la fecha de revocación se estableció en su fecha de emisión. Como medida de precaución, se cancelaron los pedidos pendientes dentro de la ventana de interés. Se proporcionarán detalles adicionales en nuestro informe completo de incidentes." Según el informe de incidente de **DigiCert**, los atacantes se dirigieron al personal de soporte de la empresa a principios de abril creando mensajes de soporte que contenían un archivo ZIP malicioso disfrazado de captura de pantalla. Después de múltiples intentos bloqueados, el dispositivo de un analista de soporte finalmente se vio comprometido, seguido de un segundo sistema que pasó desapercibido durante un tiempo debido a una "brecha de sensor" de protección de punto final. Utilizando el acceso al entorno de soporte comprometido, el hacker utilizó una función en el portal de soporte interno de **DigiCert** que permitía al personal de soporte ver las cuentas de los clientes desde la perspectiva del cliente. Si bien es limitado en alcance, este acceso expuso "códigos de inicialización" a pedidos de certificados de firma de código EV previamente aprobados, pero no entregados. "La posesión de un código de inicialización, combinada con un pedido aprobado, es suficiente para obtener el certificado resultante (ver la discusión de Factores Contribuyentes a continuación)", explicó **DigiCert**. "Dado que el actor de amenazas pudo obtener estas dos piezas de información para un conjunto finito de pedidos aprobados, pudo obtener certificados de firma de código EV en un conjunto de cuentas de clientes y CA." **DigiCert** dice que revocó 60 certificados de firma de código, incluidos 27 vinculados a una campaña de malware "Zhong Stealer". "11 fueron identificados en informes de problemas de certificados proporcionados a **DigiCert** por miembros de la comunidad que vinculaban los certificados con malware, y 16 fueron identificados durante nuestra propia investigación", explicó **DigiCert**. ## Campaña de malware Zhong Stealer Esto se alinea con informes anteriores de investigadores de seguridad que habían observado certificados EV de **DigiCert** recién emitidos utilizados en campañas de malware y los informaron a **DigiCert**. Investigadores, incluidos , , y , informaron que los certificados emitidos a empresas conocidas como **Lenovo**, **Kingston**, **Shuttle Inc** y **Palit Microsystems** se estaban utilizando para firmar malware. "¿Qué tienen en común **Lenovo**, **Kingston**, **Shuttle Inc** y **Palit Microsystems**?", . "Certificados EV de estas empresas fueron emitidos y utilizados por un grupo criminal chino, #GoldenEyeDog (#APT-Q-27)!" El malware en esta campaña se llama "Zhong Stealer", aunque el análisis indica que puede ser más un troyano de acceso remoto (RAT) que un infostealer. El investigador dice que el malware se distribuyó a través de los siguientes ataques: * Correos electrónicos de phishing entregan una imagen o captura de pantalla falsa * Un ejecutable de primera etapa que muestra una imagen señuelo * Recuperación de un payload de segunda etapa desde almacenamiento en la nube como AWS * Uso de binarios y cargadores firmados, incluidos componentes vinculados a proveedores legítimos Después de que **DigiCert** divulgara el incidente, los investigadores dijeron que el informe del incidente explica cómo se obtuvieron los certificados utilizados en estas campañas de malware. Cabe señalar que los certificados marcados por **Microsoft Defender** son certificados raíz en el almacén de confianza de Windows y no coinciden con los certificados de firma de código de **DigiCert** revocados utilizados para firmar malware.  ## El 99% de lo que encontró Mythos sigue sin parchear. La IA encadenó cuatro zero-days en un exploit que eludió los sandboxes del renderizador y del sistema operativo. Se avecina una ola de nuevos exploits. En la Cumbre de Validación Autónoma (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo que es explotable, demuestra que los controles se mantienen y cierra el ciclo de remediación.