*Mise à jour : Ajout de la déclaration de Microsoft à la fin de la première section de cet article.* **Microsoft Defender** détecte des certificats racine **DigiCert** légitimes comme **Trojan:Win32/Cerdigent.A!dha**, entraînant des alertes généralisées de faux positifs et, dans certains cas, la suppression de certificats de Windows. Selon un expert en cybersécurité, le problème est apparu pour la première fois après que **Microsoft** a ajouté les détections à une mise à jour de signature de Defender le 30 avril. Aujourd'hui, des administrateurs du monde entier ont commencé à signaler que des entrées de certificats racine **DigiCert** étaient signalées comme malveillantes et, sur les systèmes affectés, supprimées du magasin de confiance Windows. Selon un post Reddit concernant les faux positifs, les certificats détectés sont : * 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 * DDFB16CD4931C973A2037D3FC83A4D7D775D05E4 Sur les systèmes impactés, ces certificats ont été supprimés du magasin AuthRoot sous cette clé de registre : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\ Ces faux positifs ont suscité des inquiétudes parmi les utilisateurs de Windows, certains pensant que leurs appareils étaient infectés et réinstallant le système d'exploitation par mesure de sécurité.  **Microsoft** aurait corrigé les détections dans la version 1.449.430.0 de la mise à jour des renseignements de sécurité, et la mise à jour la plus récente est maintenant la 1.449.431.0. D'autres rapports sur Reddit indiquent que la correction restaure également les certificats précédemment supprimés sur les systèmes affectés. Les nouvelles mises à jour de **Microsoft Defender** s'installeront automatiquement, et les utilisateurs de Windows peuvent forcer manuellement une mise à jour en allant dans **Sécurité Windows** > **Protection contre les virus et menaces** > **Mises à jour de la protection** et en cliquant sur **Rechercher les mises à jour**. Après la publication de cet article, **Microsoft** a confirmé que les faux positifs étaient liés à des détections de certificats compromis suite à une récente violation de **DigiCert**. "Suite aux rapports de certificats compromis, **Microsoft Defender** a immédiatement ajouté des détections de malware dans notre logiciel antivirus Defender pour aider à protéger les clients. Plus tôt aujourd'hui, nous avons déterminé que des alertes de faux positifs avaient été déclenchées par erreur et avons mis à jour la logique d'alerte," a déclaré **Microsoft** à BleepingComputer. "**Microsoft Defender** a supprimé et nettoyé les alertes pour les environnements clients. Les clients doivent mettre à jour vers la version 1.449.430.0 des renseignements de sécurité ou une version ultérieure, mais n'ont pas besoin de prendre de mesures supplémentaires pour ces alertes. Nous avons informé les organisations affectées et recommandons aux administrateurs de consulter le tableau de bord de l'état du service (SHD) dans le centre d'administration M365 pour plus de détails." ## Lié à la récente violation de DigiCert Les faux positifs surviennent peu de temps après la divulgation d'un incident de sécurité **DigiCert** qui a permis à des acteurs de la menace d'obtenir des certificats de signature de code valides utilisés pour signer des malwares. "Un incident de malware a ciblé un membre de l'équipe de support client. Dès sa détection, le vecteur de menace a été contenu," explique le rapport d'incident de **DigiCert**. "Notre enquête ultérieure a révélé que l'acteur de la menace avait réussi à se procurer des codes d'initialisation pour un nombre limité de certificats de signature de code, dont quelques-uns ont ensuite été utilisés pour signer des malwares." "Les certificats identifiés ont été révoqués dans les 24 heures suivant leur découverte et la date de révocation a été fixée à leur date d'émission. Par mesure de précaution, les commandes en attente dans la fenêtre d'intérêt ont été annulées. Des détails supplémentaires seront fournis dans notre rapport d'incident complet." Selon le rapport d'incident de **DigiCert**, les attaquants ont ciblé le personnel de support de l'entreprise début avril en créant des messages de support contenant un fichier ZIP malveillant déguisé en capture d'écran. Après plusieurs tentatives bloquées, l'appareil d'un analyste de support a finalement été compromis, suivi d'un second système qui est resté indétecté pendant un certain temps en raison d'un "défaut de capteur" de la protection des points d'extrémité. En utilisant l'accès à l'environnement de support compromis, le pirate a utilisé une fonctionnalité du portail de support interne de **DigiCert** qui permettait au personnel de support de visualiser les comptes clients du point de vue du client. Bien que limité en portée, cet accès a exposé des "codes d'initialisation" pour des commandes de certificats de signature de code EV précédemment approuvées mais non livrées. "La possession d'un code d'initialisation, combinée à une commande approuvée, est suffisante pour obtenir le certificat résultant (voir la discussion sur les facteurs contributifs ci-dessous)," a expliqué **DigiCert**. "Étant donné que l'acteur de la menace a pu obtenir ces deux informations pour un ensemble fini de commandes approuvées, il a pu obtenir des certificats de signature de code EV sur un ensemble de comptes clients et de CA." **DigiCert** indique avoir révoqué 60 certificats de signature de code, dont 27 liés à une campagne de malware "Zhong Stealer". "11 ont été identifiés dans des rapports de problèmes de certificats fournis à **DigiCert** par des membres de la communauté reliant les certificats à des malwares, et 16 ont été identifiés lors de notre propre enquête," a expliqué **DigiCert**. ## Campagne de malware Zhong Stealer Cela correspond aux rapports antérieurs de chercheurs en sécurité qui avaient observé des certificats **DigiCert** EV nouvellement émis utilisés dans des campagnes de malwares et les avaient signalés à **DigiCert**. Des chercheurs, dont , , et , ont rapporté que des certificats émis à des entreprises bien connues telles que **Lenovo**, **Kingston**, **Shuttle Inc** et **Palit Microsystems** étaient utilisés pour signer des malwares. "Qu'est-ce que **Lenovo**, **Kingston**, **Shuttle Inc** et **Palit Microsystems** ont en commun ?," . "Des certificats EV de ces entreprises ont été émis et utilisés par un groupe criminel chinois, #GoldenEyeDog (#APT-Q-27) !" Le malware de cette campagne est nommé "Zhong Stealer", bien que l'analyse indique qu'il s'agit plus probablement d'un cheval de Troie d'accès à distance (RAT) qu'un voleur d'informations. Le chercheur indique que le malware a été distribué via les attaques suivantes : * Des e-mails de phishing livrent une fausse image ou capture d'écran * Un exécutable de premier stade qui affiche une image factice * Récupération d'un payload de second stade à partir du stockage cloud tel qu'AWS * Utilisation de binaires et de chargeurs signés, y compris des composants liés à des fournisseurs légitimes Après que **DigiCert** a divulgué l'incident, les chercheurs ont déclaré que le rapport d'incident expliquait comment les certificats utilisés dans ces campagnes de malwares avaient été obtenus. Il convient de noter que les certificats signalés par **Microsoft Defender** sont des certificats racine dans le magasin de confiance Windows et ne correspondent pas aux certificats de signature de code **DigiCert** révoqués utilisés pour signer des malwares.  ## 99% de ce que Mythos a trouvé n'est toujours pas corrigé. L'IA a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du rendu et du système d'exploitation. Une vague de nouveaux exploits est à venir. Lors du Sommet de Validation Autonome (12 et 14 mai), découvrez comment la validation autonome et riche en contexte trouve ce qui est exploitable, prouve que les contrôles tiennent bon et boucle le cycle de remédiation.