*Atualização: Adicionada a declaração da Microsoft ao final da primeira seção deste artigo.* **Microsoft Defender** está detectando certificados raiz legítimos da **DigiCert** como **Trojan:Win32/Cerdigent.A!dha**, resultando em alertas generalizados de falsos positivos e, em alguns casos, removendo certificados do Windows. Segundo um especialista em cibersegurança, o problema surgiu após a **Microsoft** adicionar as detecções a uma atualização de assinatura do Defender em 30 de abril. Hoje, administradores em todo o mundo começaram a relatar que entradas de certificados raiz da **DigiCert** foram sinalizadas como malware e, em sistemas afetados, removidas da loja de confiança do Windows. De acordo com uma postagem no Reddit sobre os falsos positivos, os certificados detectados são: * 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 * DDFB16CD4931C973A2037D3FC83A4D7D775D05E4 Em sistemas impactados, esses certificados foram removidos da loja AuthRoot sob esta chave do Registro: HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\ Esses falsos positivos causaram preocupação entre os usuários do Windows, com alguns pensando que seus dispositivos estavam infectados e reinstalando o sistema operacional para garantir.  A **Microsoft** supostamente corrigiu as detecções na atualização de Inteligência de Segurança versão **1.449.430.0**, e a atualização mais recente é agora 1.449.431.0. Outros relatos no Reddit indicam que a correção também restaura certificados anteriormente removidos em sistemas afetados. As novas atualizações do **Microsoft Defender** serão instaladas automaticamente, e os usuários do Windows podem forçar manualmente uma atualização indo em **Segurança do Windows** > **Proteção contra vírus e ameaças** > **Atualizações de proteção** e clicando em **Verificar atualizações**. Após a publicação deste artigo, a **Microsoft** confirmou que os falsos positivos estavam ligados a detecções de certificados comprometidos de uma recente violação da **DigiCert**. "Após relatos de certificados comprometidos, o **Microsoft Defender** adicionou imediatamente detecções de malware em nosso Software Antivírus Defender para ajudar a manter os clientes protegidos. Mais cedo hoje, determinamos que alertas de falsos positivos foram acidentalmente disparados e atualizamos a lógica de alerta", disse a **Microsoft** ao BleepingComputer. "O **Microsoft Defender** suprimiu e limpou os alertas para os ambientes dos clientes. Os clientes devem atualizar para a versão 1.449.430.0 ou posterior da Inteligência de Segurança, mas não precisam tomar nenhuma ação adicional para esses alertas. Notificamos as organizações afetadas e recomendamos que os administradores procurem mais detalhes no painel de integridade do serviço (SHD) dentro do centro de administração do M365." ## Ligado à recente violação da DigiCert Os falsos positivos ocorrem logo após um incidente de segurança da **DigiCert** divulgado, que permitiu que atores de ameaças obtivessem certificados válidos de assinatura de código usados para assinar malware. "Um incidente de malware visou um membro da equipe de suporte ao cliente. Após a detecção, o vetor de ameaça foi contido", explica o relatório de incidente da **DigiCert**. "Nossa investigação subsequente descobriu que o ator de ameaça conseguiu obter códigos de inicialização para um número limitado de certificados de assinatura de código, poucos dos quais foram então usados para assinar malware." "Os certificados identificados foram revogados em 24 horas após a descoberta e a data de revogação foi definida para sua data de emissão. Como medida de precaução, os pedidos pendentes dentro da janela de interesse foram cancelados. Detalhes adicionais serão fornecidos em nosso relatório completo de incidente." De acordo com o relatório de incidente da **DigiCert**, os atacantes visaram a equipe de suporte da empresa no início de abril, criando mensagens de suporte contendo um arquivo ZIP malicioso disfarçado de captura de tela. Após várias tentativas bloqueadas, o dispositivo de um analista de suporte foi eventualmente comprometido, seguido por um segundo sistema que passou despercebido por um tempo devido a uma "lacuna de sensor" de proteção de endpoint. Usando o acesso ao ambiente de suporte violado, o hacker utilizou um recurso no portal de suporte interno da **DigiCert** que permitia à equipe de suporte visualizar contas de clientes da perspectiva do cliente. Embora limitado em escopo, esse acesso expôs "códigos de inicialização" para pedidos de certificado EV de assinatura de código previamente aprovados, mas não entregues. "A posse de um código de inicialização, combinada com um pedido aprovado, é suficiente para obter o certificado resultante (veja a discussão sobre Fatores Contribuintes abaixo)", explicou a **DigiCert**. "Como o ator de ameaça conseguiu obter essas duas informações para um conjunto finito de pedidos aprovados, eles conseguiram obter certificados EV Code Signing em um conjunto de contas de clientes e CAs." A **DigiCert** afirma que revogou 60 certificados de assinatura de código, incluindo 27 ligados a uma campanha de malware "Zhong Stealer". "11 foram identificados em relatórios de problemas de certificados fornecidos à **DigiCert** por membros da comunidade, ligando os certificados a malware, e 16 foram identificados durante nossa própria investigação", explicou a **DigiCert**. ## Campanha de malware Zhong Stealer Isso se alinha com relatos anteriores de pesquisadores de segurança que observaram certificados EV da **DigiCert** recém-emitidos sendo usados em campanhas de malware e os relataram à **DigiCert**. Pesquisadores, incluindo , , e , relataram que certificados emitidos para empresas conhecidas como **Lenovo**, **Kingston**, **Shuttle Inc** e **Palit Microsystems** estavam sendo usados para assinar malware. "O que **Lenovo**, **Kingston**, **Shuttle Inc** e **Palit Microsystems** têm em comum?", . "Certificados EV dessas empresas foram emitidos e usados por um grupo criminoso chinês, #GoldenEyeDog (#APT-Q-27)!" O malware nesta campanha é chamado "Zhong Stealer", embora a análise indique que ele pode ser mais parecido com um trojan de acesso remoto (RAT) do que um infostealer. O pesquisador diz que o malware foi distribuído através dos seguintes ataques: * E-mails de phishing entregam uma imagem ou captura de tela falsa * Um executável de primeiro estágio que exibe uma imagem de isca * Recuperação de um payload de segundo estágio de armazenamento em nuvem, como AWS * Uso de binários e loaders assinados, incluindo componentes ligados a fornecedores legítimos Após a **DigiCert** divulgar o incidente, os pesquisadores disseram que o relatório do incidente explica como os certificados usados nessas campanhas de malware foram obtidos. Deve-se notar que os certificados sinalizados pelo **Microsoft Defender** são certificados raiz na loja de confiança do Windows e não correspondem aos certificados de assinatura de código revogados da **DigiCert** usados para assinar malware.  ## 99% do que a Mythos Encontrou Ainda Não Foi Corrigido. A IA encadeou quatro zero-days em um único exploit que contornou os sandboxes do renderer e do sistema operacional. Uma onda de novos exploits está chegando. No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles se mantêm e fecha o ciclo de remediação.