Microsoft Defender detecta vírus em certificados legítimos do Windows por engano

04 maio Microsoft Defender detecta vírus em certificados legítimos do Windows por engano

Posted at 19:45h in Tech-Pt-br by

O Microsoft Defender, ferramenta de segurança integrada ao Windows, começou a detectar certificados raiz legítimos da DigiCert como malware na última semana. Em sistemas afetados, o software não apenas emitia alertas falsos, como chegou a remover os certificados do repositório de confiança do sistema operacional.

O problema surgiu após uma atualização de definições de vírus publicada pela Microsoft em 30 de abril. O especialista em segurança Florian Roth foi um dos primeiros a identificar e divulgar a questão. A partir de então, administradores de sistemas em todo o mundo começaram a reportar os alertas em fóruns como o Reddit.

O que o Defender estava detectando

A detecção foi catalogada como “Trojan:Win32/Cerdigent.A!dha”. Os certificados sinalizados tinham os identificadores “0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43” e “DFB16CD4931C973A2037D3FC83A4D7D775D05E4”.

A Microsoft recomenda que usuários do Windows atualizem manualmente as definições de segurança do Defender para a versão 1.449.430.0 ou superior.

Esses são certificados raiz, ou seja, arquivos usados pelo Windows para reconhecer quais autoridades de certificação são confiáveis. Sem eles, o sistema pode deixar de validar conexões seguras e softwares assinados digitalmente.

Nas máquinas afetadas, o Defender removeu as entradas correspondentes de uma chave específica do Registro do Windows, o banco de dados interno que armazena configurações do sistema operacional.

Usuários reinstalaram o sistema por engano

A falsa detecção gerou preocupação entre usuários comuns. Alguns, ao verem o alerta de “trojan”, concluíram que seus dispositivos estavam infectados e reinstalaram o sistema operacional completamente, uma medida desnecessária e que poderia ter sido evitada.

Com acesso ao portal interno da DigiCert, o invasor obteve os dados necessários para emitir 60 certificados de assinatura de código em nome de clientes legítimos.

A confusão é compreensível, uma vez que o nome da detecção e a remoção automática de arquivos reproduzem exatamente o comportamento que um antivírus teria diante de uma ameaça real.

Microsoft corrigiu o problema e restaurou os certificados

A Microsoft lançou a correção na versão 1.449.430.0 das definições de segurança. A versão mais recente disponível no momento desta publicação era a 1.449.431.0. Segundo relatos no Reddit, a atualização não apenas interrompe os falsos positivos, como também restaura os certificados removidos nos sistemas afetados.

Usuários podem forçar a atualização manualmente pelo caminho: Segurança do Windows > Proteção contra vírus e ameaças > Atualizações de proteção > Verificar atualizações.

O ataque à DigiCert começou com mensagens falsas enviadas à equipe de suporte da empresa, um método clássico de engenharia social.

Em comunicado à imprensa, a Microsoft confirmou que a detecção equivocada foi suprimida remotamente e que organizações afetadas foram notificadas. Administradores de sistemas podem consultar o painel de saúde de serviços (SHD) no Microsoft 365 Admin Center para mais detalhes.

A origem do erro está na brecha no suporte da DigiCert

A detecção falsa está conectada a um incidente de segurança real na DigiCert, autoridade certificadora responsável pela emissão dos certificados em questão. O ataque teve início em abril, quando agentes maliciosos enviaram mensagens falsas ao suporte da empresa, com um arquivo ZIP disfarçado de captura de tela.

Após múltiplas tentativas bloqueadas, o dispositivo de um analista de suporte foi comprometido. Um segundo sistema também acabou infectado e permaneceu sem detecção por algum tempo por causa de uma falha na cobertura da ferramenta de proteção de endpoints. A partir desse acesso, o invasor utilizou uma funcionalidade interna do portal de suporte que permitia visualizar contas de clientes como se fosse o próprio cliente.

Usuários que receberam o alerta falso chegaram a reinstalar o sistema operacional por acreditar que seus dispositivos estavam infectados.

Como os atacantes obtiveram certificados válidos

Esse acesso expôs “códigos de inicialização” vinculados a pedidos de certificados de assinatura de código EV (Extended Validation) já aprovados, mas ainda não entregues.

Basicamente, um certificado EV de assinatura de código funciona como um selo de autenticidade para softwares, ele indica ao Windows que aquele programa foi produzido por uma empresa verificada.

O grupo GoldenEyeDog, de origem chinesa, utilizou os certificados obtidos na brecha da DigiCert para assinar e distribuir o malware Zhong Stealer.

Para obter um desses certificados, o atacante precisava apenas de duas coisas, um pedido aprovado e o código de inicialização correspondente. Com o acesso ao portal de suporte, tinha as duas.

A DigiCert afirma ter revogado 60 certificados comprometidos, sendo 27 deles associados a uma campanha do malware Zhong Stealer. Outros 11 foram identificados por pesquisadores externos que reportaram os certificados à empresa, e 16 foram descobertos na investigação interna.

Campanha usou nomes de empresas conhecidas

Pesquisadores de segurança como Squiblydoo, MalwareHunterTeam e g0njxa identificaram que os certificados roubados foram usados para assinar malware em nome de empresas como Lenovo, Kingston, Shuttle Inc. e Palit Microsystems. O grupo responsável foi identificado como GoldenEyeDog, também conhecido como APT-Q-27, de origem chinesa.

O Microsoft Defender classificou certificados legítimos como trojan, gerando alertas falsos em sistemas Windows ao redor do mundo.

O malware distribuído nessa campanha é chamado de Zhong Stealer. Embora classificado originalmente como um infostealer (programa que rouba dados), análises técnicas indicam que ele opera mais como um trojan de acesso remoto.

A distribuição ocorria por e-mails de phishing com imagens falsas, seguidos de um executivo inicial que exibia uma imagem de distração enquanto buscava um segundo componente em serviços de armazenamento em nuvem como o AWS.

Vale ressaltar que os certificados raiz sinalizados erroneamente pelo Defender são diferentes dos certificados de assinatura de código revogados pela DigiCert. O erro da Microsoft foi detectar, como maliciosos, arquivos legítimos do repositório de confiança do Windows que não tinham relação direta com os certificados usados na campanha de malware.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.