微软 Defender 误将 DigiCert 证书标记为 Trojan:Win32/Cerdigent.A!dha

更新：已在本文第一部分末尾添加了微软的声明。

Microsoft Defender 将合法的 DigiCert 根证书检测为 Trojan:Win32/Cerdigent.A!dha，导致大规模误报，在某些情况下甚至导致证书从 Windows 系统中被移除。

据网络安全专家 Florian Roth 称，该问题是在 4 月 30 日微软将检测规则添加到 Defender 签名更新后首次出现的。

今天，全球管理员开始报告 DigiCert 根证书条目被标记为恶意软件，并且在受影响的系统上，这些证书已从 Windows 信任存储中移除。

根据 Reddit 上关于此误报事件的帖子，被检测到的证书包括：

• 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
  
• DDFB16CD4931C973A2037D3FC83A4D7D775D05E4
  

在受影响的系统上，这些证书已从以下注册表键值下的 AuthRoot 存储中移除：这些误报引起了 Windows 用户的担忧，一些人认为他们的设备已被感染，为了安全起见甚至重新安装了操作系统。

据报道，微软已在安全智能更新版本 1.449.430.0 中修复了检测问题，目前的最新版本为 1.449.431.0。

Reddit 上的其他报告指出，该修复程序还会恢复受影响系统上先前被移除的证书。

新的 Microsoft Defender 更新将自动安装，Windows 用户也可以通过进入“Windows 安全中心”>“病毒和威胁防护”>“防护更新”并点击“检查更新”来手动强制更新。

本文发布后，微软确认误报与针对近期 DigiCert 泄露事件中被入侵证书的检测有关。

微软告诉 BleepingComputer：“在收到关于受损证书的报告后，Microsoft Defender 立即在我们的 Defender 防病毒软件中添加了恶意软件检测，以帮助保护客户安全。今天早些时候，我们要确定错误触发了误报警报，并已更新了警报逻辑。”

“Microsoft Defender 已抑制并清理了客户环境中的警报。客户应更新到安全智能版本 1.449.430.0 或更高版本，但无需针对这些警报采取额外操作。我们已通知受影响的组织，并建议管理员在 M365 管理中心的服务运行状况仪表板 (SHD) 中查看更多详细信息。”

与近期 DigiCert 违规事件有关

此次误报事件发生在披露 DigiCert 安全事件后不久，该事件使威胁行为者能够获取用于签署恶意软件的有效代码签名证书。

“一起恶意软件事件针对了一名客户支持团队成员。检测到后，威胁载体已被遏制，”DigiCert 事件报告解释道。

“我们随后的调查发现，威胁行为者能够获取数量有限的代码签名证书的初始化代码，其中少数被用于签署恶意软件。”

“被识别的证书在发现后 24 小时内被吊销，吊销日期设定为其签发日期。作为预防措施，感兴趣窗口内的待处理订单已被取消。更多详情将在我们的完整事件报告中提供。”

根据 DigiCert 的事件报告，攻击者在 4 月初通过创建包含伪装成截图的恶意 ZIP 文件的支持消息，以此针对公司的支持人员。

在多次被阻止的尝试后，一名支持分析师的设备最终被入侵，随后第二个系统也被入侵，且因端点保护存在“传感器缺口”而一度未被发现。

利用对被入侵支持环境的访问权限，黑客使用了 DigiCert 内部支持门户中的一项功能，该功能允许支持人员从客户的角度查看客户账户。

虽然范围有限，但此次访问暴露了先前已批准但未交付的 EV 代码签名证书订单的“初始化代码”。

DigiCert 解释道：“拥有初始化代码，再加上已批准的订单，足以获取生成的证书（见下文的促成因素讨论）。由于威胁行为者能够获取这一有限组已批准订单的这两部分信息，他们能够跨一组客户账户和 CA 获取 EV 代码签名证书。”

DigiCert 表示其吊销了 60 个代码签名证书，其中包括 27 个与“Zhong Stealer”恶意软件活动相关的证书。

DigiCert 解释道：“其中 11 个是在社区成员提供给 DigiCert 的证书问题报告中被识别并关联到恶意软件的，16 个是在我们自己的调查中识别的。”

Zhong Stealer 恶意软件活动

这与安全研究人员早些时候的报告一致，他们观察到新签发的 DigiCert EV 证书被用于恶意软件活动，并向 DigiCert 进行了报告。

包括 Squiblydoo、MalwareHunterTeam 和 g0njxa 在内的研究人员报告称，签发给联想、金士顿、浩鑫 和同德 等知名公司的证书正被用于签署恶意软件。

“联想、金士顿、浩鑫 和同德有什么共同点？”Squiblydoo 在 X 上发帖称。

“这些公司的 EV 证书被一个中国犯罪组织 #GoldenEyeDog (#APT-Q-27) 签发并使用！”

该活动中的恶意软件被命名为“Zhong Stealer”，尽管分析表明它可能更像是一个远程访问木马 (RAT)，而不是信息窃取程序。

研究人员称，该恶意软件通过以下攻击传播：

• 网络钓鱼邮件投递虚假图像或截图
  
• 第一阶段可执行文件显示诱饵图像
  
• 从 AWS 等云存储检索第二阶段载荷
  
• 使用签名的二进制文件和加载程序，包括与合法供应商相关的组件
  

     

DigiCert 披露该事件后，研究人员表示，事件报告解释了这些恶意软件活动中使用的证书是如何获取的。

值得注意的是，被 Microsoft Defender 标记的证书是 Windows 信任存储中的根证书，与用于签署恶意软件的被吊销 DigiCert 代码签名证书并不匹配。