Microsoft Defender Flagga Certificati DigiCert Legittimi come Malware: False Positive e Soluzione

Microsoft Defender segnala falsi positivi: certificati legittimi di DigiCert scambiati per malware

Microsoft Defender ha recentemente rilevato falsi positivi, identificando come malware legittimi certificati root di DigiCert. Questo errore ha causato allarmi diffusi e, in alcuni casi, la rimozione dei certificati dai sistemi Windows. Il problema è emerso dopo un aggiornamento delle firme di Microsoft Defender del 30 aprile, come segnalato dal cybersecurity esperto Florian Roth.

Amministratori di tutto il mondo hanno iniziato a segnalare che le voci dei certificati root di DigiCert venivano contrassegnate come malware e, nei sistemi interessati, rimosse dal repository di fiducia di Windows. I certificati coinvolti sono identificati dagli hash:

0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
DDFB16CD4931C973A2037D3FC83A4D7D775D05E4

Su sistemi colpiti, questi certificati sono stati rimossi dal repository AuthRoot sotto questa chiave di registro: HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\.

I falsi positivi hanno generato preoccupazione tra gli utenti Windows, con alcuni che hanno pensato che i loro dispositivi fossero infetti e hanno reinstallato il sistema operativo per precauzione.

Aggiornamenti di sicurezza e soluzioni

Microsoft ha riscontrato il problema e ha rilasciato una correzione nell'aggiornamento di intelligence della sicurezza versione 1.449.430.0. Gli utenti possono verificare la presenza di aggiornamenti più recenti, ora disponibili nella versione 1.449.431.0, accedendo a Windows Security > Virus e protezione dalle minacce > Aggiornamenti di protezione e cliccando su Verifica aggiornamenti.

Altre segnalazioni su Reddit indicano che la correzione ripristina anche i certificati precedentemente rimossi sui sistemi interessati.

Collegamento con un recente incidente di DigiCert

I falsi positivi sono emersi poco dopo la divulgazione di un incidente di sicurezza di DigiCert che ha permesso agli attori delle minacce di ottenere certificati di firma del codice validi utilizzati per firmare malware. Secondo il rapporto sull'incidente di DigiCert, un incidente di malware ha preso di mira un membro del team di supporto.

"Il nostro successivo indagine ha rilevato che l'attore delle minacce è stato in grado di ottenere codici di inizializzazione per un numero limitato di certificati di firma del codice, alcuni dei quali sono stati poi utilizzati per firmare malware", spiega il rapporto sull'incidente di DigiCert.

I certificati identificati sono stati revocati entro 24 ore dalla scoperta e la data di revoca è stata impostata sulla loro data di emissione. Come misura precauzionale, gli ordini in sospeso nell'intervallo di interesse sono stati annullati.

Campagna di malware Zhong Stealer

Questo incidente si allinea con le segnalazioni precedenti dei ricercatori di sicurezza che avevano osservato certificati EV di DigiCert appena emessi utilizzati in campagne di malware. I ricercatori, tra cui Squiblydoo, MalwareHunterTeam e g0njxa, hanno segnalato che i certificati emessi a nomi noti come Lenovo, Kingston, Shuttle Inc e Palit Microsystems venivano utilizzati per firmare malware.

"Cosa hanno in comune Lenovo, Kingston, Shuttle Inc e Palit Microsystems?", ha postato Squiblydoo su X. "Certificati EV di queste aziende sono stati emessi e utilizzati da un gruppo criminale cinese, #GoldenEyeDog (#APT-Q-27)!"

Il malware in questa campagna è chiamato "Zhong Stealer", sebbene l'analisi indichi che potrebbe essere più simile a un trojan di accesso remoto (RAT) che a un infostealer.

Il ricercatore afferma che il malware è stato distribuito attraverso i seguenti attacchi:

Email di phishing che consegnano un'immagine falsa o uno screenshot
Un eseguibile di prima fase che visualizza un'immagine di decoy
Recupero di un payload di seconda fase da archiviazione cloud come AWS
Utilizzo di binari e caricatori firmati, inclusi componenti legati a fornitori legittimi

Dopo che DigiCert ha divulgato l'incidente, i ricercatori hanno affermato che il rapporto sull'incidente spiega come i certificati utilizzati in queste campagne di malware siano stati ottenuti.

i certificati segnalati da Microsoft Defender sono certificati root nel repository di fiducia di Windows e non corrispondono ai certificati di firma del codice di DigiCert revocati utilizzati per firmare malware.

Impatto e Risoluzione dei False Positive

L'errore di Microsoft Defender ha avuto un impatto significativo sugli utenti aziendali e domestici. Molte organizzazioni hanno dovuto affrontare interruzioni dei servizi, poiché i certificati rimossi erano essenziali per l'autenticazione e la sicurezza delle comunicazioni. Alcuni utenti hanno riportato problemi con applicazioni critiche, tra cui software di controllo industriale e sistemi di pagamento, che dipendono da certificati digitali per funzionare correttamente.

Microsoft ha rilasciato una dichiarazione ufficiale per rassicurare gli utenti, affermando che i false positive erano stati causati da un aggiornamento del sistema di rilevamento che aveva erroneamente identificato i certificati legittimi come malware. La società ha sottolineato che gli utenti non avrebbero dovuto intraprendere ulteriori azioni oltre all'aggiornamento alla versione 1.449.430.0 o successiva dell'intelligence di sicurezza.

Tuttavia, alcuni amministratori di sistema hanno segnalato che, nonostante l'aggiornamento, alcuni sistemi continuavano a presentare problemi di compatibilità con applicazioni specifiche. Questo ha portato a richieste di ulteriori chiarimenti da parte di Microsoft riguardo a possibili eccezioni o soluzioni temporanee per sistemi critici.

Analisi della Breach di DigiCert

L'incidente di sicurezza che ha colpito DigiCert ha evidenziato vulnerabilità critiche nei processi di supporto tecnico. Gli hacker hanno sfruttato una "sensor gap" nelle protezioni di endpoint, che ha permesso loro di eludere i controlli di sicurezza per un periodo di tempo significativo. Questo ha permesso agli attaccanti di accedere a informazioni sensibili, tra cui i codici di inizializzazione per i certificati di firma del codice.

DigiCert ha rivelato che il malware utilizzato nell'attacco iniziale era un file ZIP camuffato da screenshot. Questo metodo di consegna è comune nelle campagne di phishing avanzate e sottolinea l'importanza di una formazione continua del personale al riconoscimento delle minacce informatiche.

Un aspetto preoccupante dell'incidente è stato il tempo necessario per rilevare la compromissione. Sebbene il primo tentativo di attacco sia stato bloccato, il secondo ha avuto successo, permettendo agli hacker di ottenere l'accesso a due sistemi interni. Questo ritardo ha permesso agli attaccanti di sfruttare le vulnerabilità prima che potessero essere mitigate.

Implicazioni per la Sicurezza dei Certificati

L'uso di certificati di firma del codice emessi da DigiCert in campagne di malware come Zhong Stealer ha sollevato preoccupazioni riguardo alla fiducia nei certificati digitali. I certificati Extended Validation (EV) sono progettati per fornire un livello superiore di autenticazione, ma l'incidente dimostra che anche questi possono essere compromessi.

Gli esperti di sicurezza hanno sottolineato la necessità di un monitoraggio continuo e di un miglioramento dei processi di emissione dei certificati. DigiCert ha annunciato che sta implementando misure aggiuntive per prevenire futuri incidenti, tra cui l'adozione di autenticazione a più fattori per il personale di supporto e l'integrazione di strumenti di analisi comportamentale per rilevare attività sospette.

Il rapporto sull'incidente di DigiCert ha anche evidenziato la collaborazione con la comunità di sicurezza informatica. Gli esperti esterni hanno giocato un ruolo cruciale nel rilevare e segnalare i certificati compromessi, dimostrando l'importanza del lavoro congiunto tra le aziende e gli esperti di sicurezza indipendenti.

Prospettive Future

Gli incidenti recenti hanno spinto le aziende di certificazione a riesaminare i propri protocolli di sicurezza. Si prevede che l'industria adotterà misure più rigorous, come l'uso di blockchain per tracciare l'emissione e l'uso dei certificati, e l'integrazione di intelligenza artificiale per rilevare comportamenti anomali.

Per gli utenti finali, è fondamentale mantenere i sistemi aggiornati e monitorare attentamente i certificati utilizzati dalle applicazioni critiche. Le organizzazioni dovrebbero considerare l'implementazione di soluzioni di sicurezza a strati, che combinino certificati digitali con altre tecnologie di autenticazione per ridurre i rischi.

mentre gli incidenti come quello di DigiCert e Microsoft Defender sono preoccupanti, offrono anche l'opportunità di migliorare la sicurezza informatica attraverso l'apprendimento e l'adozione di nuove tecnologie e pratiche.

Nota Editoriale e Disclaimer

Le guide e i contenuti pubblicati su GoYou sono frutto di attività di ricerca e analisi indipendente, a scopo informativo, educativo e di approfondimento.

GoYou non costituisce una testata giornalistica né un prodotto editoriale ai sensi della Legge n. 62/2001 e non svolge attività di informazione in tempo reale.

Il progetto GoYou non fornisce consulenza professionale, tecnica, legale o finanziaria e declina ogni responsabilità per l’uso improprio delle informazioni pubblicate.

Nel settore Crypto, ogni investimento comporta rischi: si invita il lettore a informarsi sempre in modo autonomo prima di assumere qualsiasi decisione.