Microsoft Defender 错误地将 DigiCert 证书标记为 Trojan:Win32/Cerdigent.A!dha

Source: Bleeping Computer

背景

• 发现 – 网络安全研究员 Florian Roth 备注该问题出现在 Microsoft 于 2024年4月30日 将检测添加到 Defender 签名更新后。
• 报告 – 全球管理员开始在 Reddit 上发布该问题：
  • r/cybersecurity – “MDE flagging DigiCert certificate as malicious”

受影响的证书

以下 DigiCert 根证书被识别为恶意：

• 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
• DDFB16CD4931C973A2037D3FC83A4D7D775D05E4

这些证书已从 AuthRoot 存储中删除，位于注册表键：

HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\

影响

• 用户看到系统被感染的警报。
• 一些用户选择重新安装 Windows 以“清除”感染。
• 误报削弱了对 Windows 安全生态系统的信任。

修复

Microsoft 在 Security Intelligence update 1.449.430.0 中发布了修复（最新版本为 1.449.431.0）。此更新：

• 移除错误的检测。
• 恢复之前被删除的任何证书。

“该修复还会在受影响的系统上恢复先前被删除的证书。” – Reddit 讨论: r/cybersecurity – Trojan:Win32/Cerdigent.A!dha

手动应用更新

1. 打开 Windows 安全。
2. 前往 病毒与威胁防护 → 防护更新。
3. 点击 检查更新。

如果系统已连接到互联网，更新将自动安装。

可视参考

Source: Reddit comment

如果在应用最新更新后仍然看到警报，请考虑向 Microsoft 支持报告此问题，并确认受影响的证书已存在于 AuthRoot 存储中。

最近 DigiCert 违规的可能关联

这些误报出现在公开的 DigiCert 安全事件 之后不久，该事件使威胁行为者能够获取用于签署恶意软件的有效代码签名证书。

事件概述

• 目标： 客服团队成员。
• 结果： 威胁向量在被检测后被遏制。

“我们随后调查发现，威胁行为者能够获取少量代码签名证书的初始化代码，其中一些随后被用于签署恶意软件。” – DigiCert 事件报告

• 吊销： 在发现后 24 小时内吊销了已识别的证书，吊销日期设为发行日期。
• 预防措施： 受影响时间窗口内的待处理订单已被取消。完整的事件报告将提供更多细节。

攻击时间线

1. 四月初 – 初始妥协
   • 攻击者发送包含恶意 ZIP 文件（伪装成截图）的支持消息。
2. 多次被阻止的尝试
   • 在多次被阻止后，一名支持分析师的设备被妥协。
3. 二次妥协
   • 由于终端防护“传感器缺口”，第二台系统在一段时间内未被发现。

被利用的功能

利用对被侵入的支持环境的访问，攻击者利用 DigiCert 内部支持门户中的一个功能，该功能允许工作人员从客户视角查看客户账户。此暴露使攻击者获得：

• 初始化代码，用于先前已批准但未交付的 EV 代码签名证书订单。

“拥有初始化代码并结合已批准的订单，即可获取相应的证书（见下文‘促成因素’讨论）。” – DigiCert

拥有上述两项信息后，威胁行为者为一组有限的已批准订单获取了 EV 代码签名证书。

影响

• 已吊销证书： 60 份代码签名证书。
• 恶意软件活动： 27 份证书与 “Zhong Stealer” 活动关联。
• 检测来源：
  • 通过社区提交的证书问题报告识别的证书有 11 份。
  • 在 DigiCert 内部调查期间识别的证书有 16 份。

欲获取完整的技术分析和完整的事件报告，请参阅 DigiCert 的官方通讯。

Zhong Stealer 恶意软件活动

该活动与安全研究人员早前的报告相呼应，后者观察到新颁发的 DigiCert EV 证书被用于恶意软件操作，并已向 DigiCert 报告了此类滥用。

受影响的证书

包括 Squiblydoo、MalwareHunterTeam 和 g0njxa 在内的研究人员发现，颁发给诸如 联想 (Lenovo)、金士顿 (Kingston)、航天信息 (Shuttle Inc.) 和 技嘉 (Palit Microsystems) 等知名公司的 EV 证书被用于签署恶意二进制文件。

“联想、金士顿、航天信息和技嘉有什么共同点？” – Squiblydoo 在 X 上的发言
“这些公司的 EV 证书被一个中国犯罪组织 #GoldenEyeDog（#APT‑Q‑27）获取并使用！”

恶意软件概述

该活动使用的恶意软件名为 Zhong Stealer。虽然名称暗示它是信息窃取器，但分析表明它更像是远程访问木马 (RAT)。

分发链

研究人员描述了典型的感染流程：

1. 钓鱼邮件 – 发送伪造的图片或截图。
2. 第一阶段可执行文件 – 向受害者展示诱饵图片。
3. 第二阶段载荷 – 从云存储（例如 AWS）获取。
4. 签名二进制文件和加载器 – 包含使用被泄露的 EV 证书签名的组件，通常与合法供应商关联。

DigiCert 事件

在 DigiCert 公开泄露后，事件报告详细说明了攻击者是如何获取这些用于本次活动的证书的。

• 微软尚未正式确认 Defender 检测结果源自 DigiCert 事件。
• 微软 Defender 标记的证书是 Windows 信任存储中的 根证书，与 被撤销的 DigiCert 代码签名证书 不匹配，后者用于签署恶意软件。

BleepingComputer 已联系微软，询问该活动是否直接与 DigiCert 泄露有关。