Microsoft Defender signale par erreur des certificats racine légitimes de DigiCert comme le cheval de Troie Trojan:Win32/Cerdigent.A!dha. Ce dysfonctionnement provoque des alertes massives de faux positifs, voire la suppression de ces certificats sur certains systèmes Windows.
L’expert en cybersécurité Florian Roth indique que le problème surgit suite à une mise à jour des signatures de Defender déployée le 30 avril par Microsoft.
Administrateurs et utilisateurs du monde entier constatent que les entrées de certificats racine DigiCert apparaissent comme malveillantes. Sur les machines touchées, ces certificats disparaissent du magasin de confiance Windows.
Les identifiants des certificats incriminés correspondent à :
- 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
- DDFB16CD4931C973A2037D3FC83A4D7D775D05E4
Ces éléments s’effacent du magasin AuthRoot, situé sous la clé de registre HKLMSOFTWAREMicrosoftSystemCertificatesAuthRootCertificates.
Source : Reddit
Microsoft corrige les détections via la mise à jour de l’intelligence de sécurité en version 1.449.430.0. La plus récente passe à 1.449.431.0, et restaure les certificats supprimés sur les systèmes impactés.
Les mises à jour s’installent automatiquement. Pour accélérer le processus, les utilisateurs accèdent à Windows Security > Virus and threat protection > Protection updates, puis cliquent sur Check for Updates.
Lien potentiel avec une violation récente chez DigiCert
Ce souci survient peu après un incident de sécurité chez DigiCert, où des acteurs malveillants obtiennent des certificats de signature de code valides employés pour signer du malware.
Un malware vise un membre de l’équipe support client. DigiCert isole la menace dès sa détection. L’enquête révèle que l’attaquant accède à des codes d’initialisation pour un nombre restreint de certificats de signature de code, dont certains servent à signer du malware.
DigiCert révoque ces certificats dans les 24 heures, fixe la date de révocation à celle d’émission, annule les commandes en attente et prépare un rapport complet.
Les assaillants visent le personnel support début avril via des messages piégés avec un fichier ZIP malveillant masqué en capture d’écran. Après plusieurs échecs, un poste de travail d’un analyste tombe, puis un second échappe temporairement à la protection en raison d’une lacune dans les capteurs des outils de sécurité.
Depuis l’environnement support compromis, l’intrus exploite une fonctionnalité du portail interne DigiCert pour visualiser les comptes clients sous leur angle. Cela expose des codes d’initialisation liés à des commandes EV Code Signing approuvées mais non livrées.
Avec ces codes et les commandes validées, l’attaquant génère des certificats EV Code Signing sur divers comptes clients et autorités de certification. DigiCert révoque 60 certificats de signature de code, dont 27 liés à du malware.
Avant la divulgation, des chercheurs comme Squiblydoo, MalwareHunterTeam et g0njxa observent des certificats DigiCert EV récents dans des campagnes malveillantes. Ils concernent des firmes comme Lenovo, Kingston, Shuttle Inc et Palit Microsystems.
Squiblydoo note sur X que ces EV certificates proviennent d’un groupe criminel chinois, GoldenEyeDog (ou APT-Q-27). Le malware, baptisé Zhong Stealer, ressemble davantage à un RAT qu’à un voleur d’informations.
La diffusion repose sur des e-mails de phishing avec fausses images, un exécutable de premier stade affichant une image leurre, un payload de second stade récupéré depuis un stockage cloud comme AWS, et des binaires signés liés à des éditeurs légitimes.
Le rapport DigiCert éclaire l’obtention de ces certificats. Bien que Microsoft n’ait pas lié explicitement les détections Defender à cet incident, la proximité temporelle et le ciblage des certificats DigiCert évoquent un rapport. Les certificats root signalés par Defender dans le magasin de confiance Windows diffèrent toutefois des certificats de signature de code révoqués.