Recentemente, uma atualização das definições do antivírus da Microsoft classificou certificados raiz legítimos como um trojan, resultando em sua remoção nos sistemas afetados; uma correção já foi disponibilizada.
O Microsoft Defender, ferramenta de segurança do Windows, começou a identificar certificados raiz da DigiCert como malware na semana passada. Nos sistemas afetados, o software emitia alertas falsos e até eliminava os certificados do repositório de confiança do sistema.
Essa situação surgiu após uma atualização publicada pela Microsoft no dia 30 de abril. O especialista Florian Roth foi um dos primeiros a destacar e divulgar o problema, levando administradores de sistemas em todo o mundo a reportarem os alertas em fóruns como o Reddit.
O que estava sendo detectado pelo Defender
A detecção foi classificada como “Trojan:Win32/Cerdigent.A!dha”. Os certificados implicados tinham os identificadores “0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43” e “DFB16CD4931C973A2037D3FC83A4D7D775D05E4”.
Esses certificados raiz são essenciais para o Windows validar conexões seguras e softwares assinados digitalmente. Sem eles, o sistema pode enfrentar dificuldades em reconhecer quais autoridades de certificação são confiáveis.
Empresa brasileira teria sido usada em ataques DDoS contra provedores nacionais, diz site
Nos dispositivos afetados, o Defender excluiu entradas de uma chave específica no Registro do Windows, onde são guardadas as configurações do sistema operacional.
Usuários confundidos reinstalaram o sistema
A falsa detecção causou alvoroço entre os usuários. Alguns, ao ver o alerta de “trojan”, acreditaram que seus dispositivos estavam infectados e decidiram reinstalar o sistema operacional, uma ação desnecessária que poderia ter sido evitada.
A confusão é compreensível, já que o nome da detecção e a remoção automática se comportam como um antivírus faria diante de uma verdadeira ameaça.
A Microsoft corrigiu o erro e restaurou os certificados
A Microsoft lançou um patch na versão 1.449.430.0 das definições de segurança. A versão mais recente no momento da publicação era a 1.449.431.0. Segundo relatos no Reddit, a atualização não apenas interrompeu os falsos positivos, como também restaurou os certificados removidos.
Banco Central lança serviço grátis para bloquear abertura de contas no seu nome
Os usuários podem forçar a atualização manual usando o caminho: Segurança do Windows > Proteção contra vírus e ameaças > Atualizações de proteção > Verificar atualizações.
Em nota à imprensa, a Microsoft confirmou que a detecção equivocada foi corrigida remotamente e que as organizações afetadas foram notificadas. Administradores de sistemas podem acessar o painel de saúde de serviços (SHD) no Microsoft 365 Admin Center para mais detalhes.
A origem do erro está na vulnerabilidade no suporte da DigiCert
A falha de detecção está atrelada a um incidente real de segurança na DigiCert, responsável pela emissão dos certificados envolvidos. O ataque começou em abril, quando agentes maliciosos enviaram mensagens falsas ao suporte da empresa, disfarçadas com um arquivo ZIP.
Após diversas tentativas fracassadas, o dispositivo de um analista foi comprometido, permitindo ao invasor acessar a funcionalidade interna do portal de suporte e visualizar contas de clientes como se fosse o próprio cliente.
Hackers norte-coreanos usaram o Claude para infectar pacote NPM com vírus
Como os atacantes obtiveram certificados válidos
Esse acesso permitiu a exposição de “códigos de inicialização” vinculados a pedidos de certificados de assinatura de código EV (Extended Validation) que já haviam sido aprovados.
Um certificado EV de assinatura é um selo de autenticidade para software, indicando ao Windows que um programa foi desenvolvido por uma empresa verificada.
Para conseguir um desses certificados, o atacante apenas precisaria de um pedido aprovado junto ao código correspondente. Com acesso ao portal de suporte, ele tinha ambos.
A DigiCert anunciou a revogação de 60 certificados comprometidos, sendo 27 deles associados a uma campanha do malware Zhong Stealer. Outros 11 foram identificados por pesquisadores externos, e 16 foram descobertos em investigação interna.
Pacote Python com milhões de usuários foi infectado por falha no GitHub
Campanha utilizou nomes conhecidos
Pesquisadores identificaram que os certificados roubados foram usados para assinar malware em nome de empresas como Lenovo e Kingston. O grupo responsável é conhecido como GoldenEyeDog, ou APT-Q-27.
O malware utilizado é o Zhong Stealer, que, embora classificado como um infostealer, opera mais como um trojan de acesso remoto. A distribuição ocorria por meio de e-mails de phishing que incluíam imagens falsas.
É importante ressaltar que os certificados raiz que foram identificados erroneamente pelos sistemas são diferentes dos certificados de assinatura revogados pela DigiCert. O erro da Microsoft foi classificar arquivos legítimos do repositório de confiança do Windows como maliciosos.
Falha inédita no Windows permite que invasores tomem controle total do sistema
Siga a TecMania nas redes sociais. Para mais atualizações sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.