🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O Microsoft Defender está detectando certificados raiz DigiCert legítimos como Trojan:Win32/Cerdigent.A!dha, resultando em alertas falsos positivos generalizados e, em alguns casos, removendo certificados do Windows.
De acordo com o especialista em segurança cibernética Florian Roth, o problema apareceu pela primeira vez depois que a Microsoft adicionou as detecções a uma atualização de assinatura do Defender em 30 de abril.
Hoje, administradores em todo o mundo começaram a relatar que as entradas de certificados raiz da DigiCert foram sinalizadas como malware e, nos sistemas afetados, removidas do armazenamento confiável do Windows.
De acordo com uma postagem do Reddit sobre os falsos positivos, os certificados detectados são:
0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
DDFB16CD4931C973A2037D3FC83A4D7D775D05E4
Nos sistemas afetados, esses certificados foram removidos do armazenamento AuthRoot sob esta chave do Registro:
HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
Esses falsos positivos geraram preocupação entre os usuários do Windows, com alguns pensando que seus dispositivos estavam infectados e reinstalando o sistema operacional por segurança.
Microsoft Defender "Trojan:Win32/Cerdigent.A!dha" Falso PositivoFonte: Reddit
A Microsoft supostamente corrigiu as detecções na versão de atualização do Security Intelligence 1.449.430.0, e a atualização mais recente agora é 1.449.431.0.
Outros relatórios no Reddit indicam que a correção também restaura certificados removidos anteriormente nos sistemas afetados.
As novas atualizações do Microsoft Defender serão instaladas automaticamente, e os usuários do Windows poderão forçar manualmente uma atualização acessando Segurança do Windows > Proteção contra vírus e ameaças > Atualizações de proteção e clicando em Verificar atualizações.
Possivelmente ligado a uma violação recente da DigiCert
Os falsos positivos ocorrem logo após um incidente de segurança divulgado pela DigiCert que permitiu que os agentes da ameaça obtivessem certificados de assinatura de código válidos usados para assinar malware.
“Um incidente de malware teve como alvo um membro da equipe de suporte ao cliente. Após a detecção, o vetor de ameaça foi contido”, explica o relatório de incidente da DigiCert.
“Nossa investigação subsequente descobriu que o agente da ameaça conseguiu obter códigos de inicialização para um número limitado de certificados de assinatura de código, poucos dos quais foram usados para assinar malware”.
"Os certificados identificados foram revogados dentro de 24 horas após a descoberta e a data de revogação definida como a data de emissão. Como medida de precaução, os pedidos pendentes dentro da janela de interesse foram cancelados. Detalhes adicionais serão fornecidos em nosso relatório completo do incidente."
De acordo com o relatório de incidente da DigiCert, os invasores atacaram a equipe de suporte da empresa no início de abril, criando mensagens de suporte contendo um arquivo ZIP malicioso disfarçado de captura de tela.
Após várias tentativas bloqueadas, o dispositivo de um analista de suporte acabou sendo comprometido, seguido por um segundo sistema que passou despercebido por um tempo devido a uma “lacuna no sensor” de proteção de endpoint.
Usando o acesso ao ambiente de suporte violado, o hacker usou um recurso no portal de suporte interno da DigiCert que permitiu à equipe de suporte visualizar as contas dos clientes da perspectiva do cliente.
Embora de escopo limitado, esse acesso expôs "códigos de inicialização" a pedidos de certificados de assinatura de código EV previamente aprovados, mas não entregues.
“A posse de um código de inicialização, combinado com um pedido aprovado, é suficiente para obter o certificado resultante (veja a discussão dos Fatores Contribuintes abaixo)”, explicou DigiCert.
“Como o agente da ameaça conseguiu obter essas duas informações para um conjunto finito de pedidos aprovados, eles conseguiram obter certificados de assinatura de código EV em um conjunto de contas de clientes e CAs.”
A DigiCert afirma que revogou 60 certificados de assinatura de código, incluindo 27 vinculados a uma campanha de malware “Zhong Stealer”.
“11 foram identificados em relatórios de problemas de certificados fornecidos à DigiCert por membros da comunidade vinculando os certificados a malware, e 16 foram identificados durante nossa própria investigação”, explicou a DigiCert.
Campanha de malware Zhong Stealer
Isso se alinha com relatórios anteriores de pesquisadores de segurança que observaram certificados DigiCert EV recém-emitidos usados em campanhas de malware e os relataram à DigiCert.
Pesquisadores, incluindo Squablydoo, MalwareHunterTeam e g0njxa, relataram que certificados emitidos para empresas conhecidas como Lenovo, Kingston, Shuttle Inc e Palit Microsystems estavam sendo usados para assinar malware.
"O que Lenovo, Kingston, Shuttle Inc e Palit Microsystems têm em comum?", postou Squablydoo no X.
“Os certificados EV dessas empresas foram emitidos e usados por um grupo criminoso chinês, #GoldenEyeDog (#APT-Q-27)!”
O malware nesta campanha é chamado de "Zhong Stealer", embora a análise indique que ele pode ser mais parecido com um trojan de acesso remoto (RAT) do que com um infostealer.
O pesquisador afirma que o malware foi distribuído por meio dos seguintes ataques:
E-mails de phishing entregam uma imagem ou tela falsa
De acordo com o especialista em segurança cibernética Florian Roth, o problema apareceu pela primeira vez depois que a Microsoft adicionou as detecções a uma atualização de assinatura do Defender em 30 de abril.
Hoje, administradores em todo o mundo começaram a relatar que as entradas de certificados raiz da DigiCert foram sinalizadas como malware e, nos sistemas afetados, removidas do armazenamento confiável do Windows.
De acordo com uma postagem do Reddit sobre os falsos positivos, os certificados detectados são:
0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
DDFB16CD4931C973A2037D3FC83A4D7D775D05E4
Nos sistemas afetados, esses certificados foram removidos do armazenamento AuthRoot sob esta chave do Registro:
HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\
Esses falsos positivos geraram preocupação entre os usuários do Windows, com alguns pensando que seus dispositivos estavam infectados e reinstalando o sistema operacional por segurança.
Microsoft Defender "Trojan:Win32/Cerdigent.A!dha" Falso PositivoFonte: Reddit
A Microsoft supostamente corrigiu as detecções na versão de atualização do Security Intelligence 1.449.430.0, e a atualização mais recente agora é 1.449.431.0.
Outros relatórios no Reddit indicam que a correção também restaura certificados removidos anteriormente nos sistemas afetados.
As novas atualizações do Microsoft Defender serão instaladas automaticamente, e os usuários do Windows poderão forçar manualmente uma atualização acessando Segurança do Windows > Proteção contra vírus e ameaças > Atualizações de proteção e clicando em Verificar atualizações.
Possivelmente ligado a uma violação recente da DigiCert
Os falsos positivos ocorrem logo após um incidente de segurança divulgado pela DigiCert que permitiu que os agentes da ameaça obtivessem certificados de assinatura de código válidos usados para assinar malware.
“Um incidente de malware teve como alvo um membro da equipe de suporte ao cliente. Após a detecção, o vetor de ameaça foi contido”, explica o relatório de incidente da DigiCert.
“Nossa investigação subsequente descobriu que o agente da ameaça conseguiu obter códigos de inicialização para um número limitado de certificados de assinatura de código, poucos dos quais foram usados para assinar malware”.
"Os certificados identificados foram revogados dentro de 24 horas após a descoberta e a data de revogação definida como a data de emissão. Como medida de precaução, os pedidos pendentes dentro da janela de interesse foram cancelados. Detalhes adicionais serão fornecidos em nosso relatório completo do incidente."
De acordo com o relatório de incidente da DigiCert, os invasores atacaram a equipe de suporte da empresa no início de abril, criando mensagens de suporte contendo um arquivo ZIP malicioso disfarçado de captura de tela.
Após várias tentativas bloqueadas, o dispositivo de um analista de suporte acabou sendo comprometido, seguido por um segundo sistema que passou despercebido por um tempo devido a uma “lacuna no sensor” de proteção de endpoint.
Usando o acesso ao ambiente de suporte violado, o hacker usou um recurso no portal de suporte interno da DigiCert que permitiu à equipe de suporte visualizar as contas dos clientes da perspectiva do cliente.
Embora de escopo limitado, esse acesso expôs "códigos de inicialização" a pedidos de certificados de assinatura de código EV previamente aprovados, mas não entregues.
“A posse de um código de inicialização, combinado com um pedido aprovado, é suficiente para obter o certificado resultante (veja a discussão dos Fatores Contribuintes abaixo)”, explicou DigiCert.
“Como o agente da ameaça conseguiu obter essas duas informações para um conjunto finito de pedidos aprovados, eles conseguiram obter certificados de assinatura de código EV em um conjunto de contas de clientes e CAs.”
A DigiCert afirma que revogou 60 certificados de assinatura de código, incluindo 27 vinculados a uma campanha de malware “Zhong Stealer”.
“11 foram identificados em relatórios de problemas de certificados fornecidos à DigiCert por membros da comunidade vinculando os certificados a malware, e 16 foram identificados durante nossa própria investigação”, explicou a DigiCert.
Campanha de malware Zhong Stealer
Isso se alinha com relatórios anteriores de pesquisadores de segurança que observaram certificados DigiCert EV recém-emitidos usados em campanhas de malware e os relataram à DigiCert.
Pesquisadores, incluindo Squablydoo, MalwareHunterTeam e g0njxa, relataram que certificados emitidos para empresas conhecidas como Lenovo, Kingston, Shuttle Inc e Palit Microsystems estavam sendo usados para assinar malware.
"O que Lenovo, Kingston, Shuttle Inc e Palit Microsystems têm em comum?", postou Squablydoo no X.
“Os certificados EV dessas empresas foram emitidos e usados por um grupo criminoso chinês, #GoldenEyeDog (#APT-Q-27)!”
O malware nesta campanha é chamado de "Zhong Stealer", embora a análise indique que ele pode ser mais parecido com um trojan de acesso remoto (RAT) do que com um infostealer.
O pesquisador afirma que o malware foi distribuído por meio dos seguintes ataques:
E-mails de phishing entregam uma imagem ou tela falsa
#samirnews #samir #news #boletimtec #o #microsoft #defender #sinaliza #erroneamente #os #certificados #digicert #como #trojan:win32/cerdigent.a!dha
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário