A Microsoft deparou-se com um problema peculiar na sua ferramenta de proteção, onde o antivírus começou a identificar certificados de raiz legítimos da DigiCert como software malicioso. Esta falha, que levou à remoção automática das entradas no sistema operativo Windows, causou alarme entre os utilizadores e administradores de sistemas, de acordo com os detalhes partilhados no Reddit.
Erro de deteção remove certificados do sistema
A situação teve início após uma atualização de assinaturas lançada a 30 de abril. O antivírus passou a classificar incorretamente os certificados da DigiCert como a ameaça Trojan:Win32/Cerdigent.A!dha, procedendo à sua eliminação do repositório de confiança do sistema. A confusão gerada por este falso positivo foi de tal ordem que alguns utilizadores, acreditando que os seus equipamentos estavam efetivamente infetados, optaram por reinstalar todo o sistema operativo como medida de precaução.
A falha na lógica de alerta foi entretanto confirmada pela empresa responsável pelo sistema operativo, que já disponibilizou uma correção. A atualização de inteligência de segurança na versão 1.449.430.0 resolve o problema da deteção incorreta e, segundo relatos de vários administradores, restaura com sucesso as chaves que tinham sido apagadas das máquinas afetadas, bastando aos utilizadores efetuarem a atualização normal do antivírus.
Falha ligada a incidente de segurança anterior
Este excesso de zelo do antivírus está diretamente relacionado com uma resposta a um incidente real na DigiCert. No início de abril, piratas informáticos comprometeram a equipa de suporte da empresa através de um ficheiro malicioso disfarçado de captura de ecrã. A partir dessa falha, os atacantes acederam ao portal interno de suporte e obtiveram códigos de inicialização que lhes permitiram emitir certificados de assinatura de código em nome de marcas conceituadas, como a Lenovo e a Kingston.
Estes certificados foram posteriormente usados para distribuir a campanha de malware conhecida como Zhong Stealer. Embora a DigiCert tenha revogado os 60 certificados comprometidos, a atualização de segurança que pretendia bloquear estas ameaças acabou por afetar certificados de raiz totalmente distintos e seguros, resultando na atual vaga de falsos positivos que afetou os utilizadores comuns.
Nenhum comentário
Seja o primeiro!