Microsoft Defender DigiCert sertifikalarını kötü amaçlı yazılım olarak işaretliyor

Microsoft Defender geçtiğimiz hafta internetteki en güvenilir kök sertifikalardan ikisini kötü amaçlı yazılım olarak işaretleyerek kurumsal Windows ortamlarında yaygın bir kesintiye neden oldu. Yanlış pozitif, 30 Nisan'da bir Defender imza güncellemesinin Trojan:Win32/Cerdigent.A!dha etiketli bir tespit sunmasıyla başladı. Kötü amaçlı yazılımları yakalamak yerine, bugün kullanılan hemen hemen her Windows makinesinde bulunan iki DigiCert kök sertifikasının kriptografik karmalarını yanlış bir şekilde eşleştirdi.

Etkilenen sertifikalar DigiCert Assured ID Root CA, parmak izi 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 ve DigiCert Trusted Root G4, parmak izi DDFB16CD4931C973A2037D3FC83A4D7D775D05E4. Her ikisi de yıllardır Windows güven deposunda yer alıyor ve milyonlarca kurumsal ve tüketici sisteminde SSL/TLS bağlantılarını, kod imzalama işlemlerini ve API çağrılarını doğrulamak için kullanılıyor. Defender bunları karantinaya aldığında, bu doğrulama zincirleri bozuldu. Bazı yöneticiler, nedenini belirlemeden önce hizmet arızalarını teşhis etmek için saatler harcadı. Güvenlik konsollarında bir Truva atı tespit edildiğini gören diğerleri ise işletim sistemlerini tamamen yeniden yükledi.

Buna ne sebep oldu

Yanlış pozitif, DigiCert'teki gerçek bir olayla bağlantılıdır. Nisan ayının başlarında saldırganlar, şirketteki iki destek ekibi uç noktasını tehlikeye atmak için müşteri ekran görüntüsü olarak gizlenmiş kötü amaçlı bir ZIP dosyası kullandılar ve ilk teslimatı yakalayamayan bir makinede yanlış yapılandırılmış bir EDR dağıtımından yararlandılar. Saldırganlar DigiCert'in dahili destek portalına erişti ve sınırlı sayıda EV kod imzalama sertifikası için başlatma kodları elde etti. DigiCert, Zhong Stealer kötü amaçlı yazılım kampanyasına bağlı olanlar da dahil olmak üzere 60 sertifikayı 24 saat içinde tespit etti ve iptal etti.

Microsoft, müşterilerini güvenliği ihlal edilmiş sertifikalarla imzalanmış kötü amaçlı yazılımlardan korumak için Defender tespitlerini zorlamak üzere hızla harekete geçti. Uyguladığı tespit mantığı çok genişti. İptal edilen kod imzalama sertifikalarının yanı sıra meşru DigiCert kök CA'larını da yakaladı ve yanlış bir şey yapmamış olan Windows sistemlerinde karantina eylemlerini tetikledi. microsoft, BleepingComputer'a yaptığı açıklamada "Bugün erken saatlerde yanlış pozitif uyarıların yanlışlıkla tetiklendiğini tespit ettik ve uyarı mantığını güncelledik" dedi. Düzeltme, Security Intelligence güncellemesi 1.449.430.0 ile birlikte gönderildi. Güncellemeyi uygulayan sistemlerin sertifikaları otomatik olarak geri yüklendi. Kısıtlı güncelleme politikalarına sahip ortamlardaki yöneticilerin certutil -store AuthRoot | findstr -i "digicert" kullanarak geri yüklemeyi manuel olarak doğrulaması gerekiyordu.

Hala etkileniyorsanız ne yapmalısınız?

Bazı kullanıcılar Trojan:Win32/Cerdigent.A!dha adresini hala gördüklerini bildirmişlerdir tanım sürümü 1.449.446.0'da uyarı verdi, bu da düzeltmenin tüm tanım dağıtım yollarına tam olarak yayılmadığını gösteriyor. Microsoft'un önerisi, Ayarlar, ardından Windows Güvenliği, ardından Virüs ve Tehdit Koruması ve ardından Koruma Güncelleştirmeleri aracılığıyla Defender'ı mevcut en son Güvenlik İstihbaratı sürümüne güncellemektir. Windows Update'in çalıştırılması ve makinenin yeniden başlatılması karantinaya alınan sertifikaların geri yüklenmesini tamamlayacaktır. DigiCert, blogunda Defender tarafından yanlışlıkla kaldırılan sertifikaların güncelleme uygulandıktan sonra otomatik olarak geri yükleneceğini ve müşteri sertifikalarında, hesaplarında veya sistemlerinde daha geniş çaplı bir tehlikenin meydana gelmediğini doğruladı.

Bu, Nisan ve Mayıs aylarında Microsoft güncellemeleriyle ilgili yaşanan bir diğer önemli aksaklıktır KB5083769 hP ve Dell makinelerdeki önyükleme döngüsü sorunu, Windows 11 25H2'ye yükseltmeye zorlama ve aynı güncellemenin Acronis ve Macrium'un üçüncü taraf yedekleme araçlarını bozması. Notebookcheck şu konuları ele aldı KB5083769 durum.