- 26,612
- 46
- 8 Ноя 2022
Как одно обновление Защитника Windows сломало компьютеры по всему миру.
Пользователи Windows по всему миру неожиданно получили тревожные предупреждения. Система защиты начала считать вредоносными ключевые цифровые сертификаты, от которых зависит нормальная работа множества сервисов. Некоторые решили, что столкнулись с заражением, и даже переустановили систему.
Проблема затронула встроенный антивирус Защитник Windows , который начал определять легитимные корневые сертификаты компании DigiCert как троян Trojan:Win32/Cerdigent.A!dha. Ошибка появилась после обновления сигнатур 30 апреля. Уже на следующий день администраторы заметили , что записи о сертификатах помечаются как вредоносные и удаляются из хранилища доверия Windows.
Удаление происходило напрямую из системного реестра, из раздела, где хранятся корневые сертификаты. В результате отдельные приложения и службы могли перестать корректно работать, поскольку система теряла доверие к подписанным компонентам.
Сообщения о ложных срабатываниях быстро распространились на форумах. Пользователи делились отпечатками сертификатов, которые система пометила как вредоносные, и публиковали скриншоты предупреждений. На части устройств антивирус не только выдавал тревогу, но и удалял сертификаты без дополнительных уведомлений.
Позже Microsoft выпустила исправление в обновлении базы сигнатур версии 1.449.430.0. Следующая версия также включает корректировку. После установки обновлений антивирус прекращает ошибочные срабатывания и, по словам пользователей, восстанавливает ранее удалённые сертификаты.
Компания объяснила ситуацию так. Система защиты добавила правила обнаружения после сообщений о компрометации сертификатов, связанных с инцидентом у DigiCert. Позже выяснилось, что логика срабатывания оказалась слишком широкой, из-за чего под подозрение попали и безопасные корневые сертификаты. После проверки правила скорректировали, а ложные предупреждения автоматически убрали.
История началась с инцидента в самой DigiCert. В начале апреля злоумышленники атаковали сотрудника службы поддержки, отправив сообщение с вредоносным ZIP-архивом под видом скриншота. Несколько попыток заблокировали, однако в итоге один компьютер всё же скомпрометировали. Позже злоумышленники получили доступ и ко второй системе, где защитный датчик временно не работал.
Используя доступ к внутреннему порталу поддержки, злоумышленники смогли просматривать учётные записи клиентов от их имени. В ряде случаев удалось получить коды инициализации для уже одобренных, но ещё не выданных сертификатов подписи кода. Этого оказалось достаточно, чтобы оформить действующие сертификаты.
DigiCert отозвала 60 таких сертификатов, из них 27 связали с вредоносной кампанией Zhong Stealer. Несмотря на название, вредоносная программа ведёт себя скорее как средство удалённого управления, чем как классический похититель данных. Программу распространяли через фишинговые письма с приманкой в виде изображений, после чего загружался основной модуль из облачных хранилищ и запускались подписанные компоненты.
Исследователи, включая Squiblydoo , MalwareHunterTeam и g0njxa , сообщили, что для подписи вредоносного ПО использовались сертификаты, выданные известным компаниям, таким как Lenovo, Kingston, Shuttle Inc и Palit Microsystems.
Примечательно, что сертификаты, которые удалял Защитник Windows, не совпадают с теми, что использовались для подписи вредоносных программ и были отозваны DigiCert. Ошибка затронула именно корневые сертификаты в системе доверия Windows, что и привело к массовым сбоям и панике среди пользователей.
Пользователи Windows по всему миру неожиданно получили тревожные предупреждения. Система защиты начала считать вредоносными ключевые цифровые сертификаты, от которых зависит нормальная работа множества сервисов. Некоторые решили, что столкнулись с заражением, и даже переустановили систему.
Проблема затронула встроенный антивирус Защитник Windows , который начал определять легитимные корневые сертификаты компании DigiCert как троян Trojan:Win32/Cerdigent.A!dha. Ошибка появилась после обновления сигнатур 30 апреля. Уже на следующий день администраторы заметили , что записи о сертификатах помечаются как вредоносные и удаляются из хранилища доверия Windows.
Удаление происходило напрямую из системного реестра, из раздела, где хранятся корневые сертификаты. В результате отдельные приложения и службы могли перестать корректно работать, поскольку система теряла доверие к подписанным компонентам.
Сообщения о ложных срабатываниях быстро распространились на форумах. Пользователи делились отпечатками сертификатов, которые система пометила как вредоносные, и публиковали скриншоты предупреждений. На части устройств антивирус не только выдавал тревогу, но и удалял сертификаты без дополнительных уведомлений.
Позже Microsoft выпустила исправление в обновлении базы сигнатур версии 1.449.430.0. Следующая версия также включает корректировку. После установки обновлений антивирус прекращает ошибочные срабатывания и, по словам пользователей, восстанавливает ранее удалённые сертификаты.
Компания объяснила ситуацию так. Система защиты добавила правила обнаружения после сообщений о компрометации сертификатов, связанных с инцидентом у DigiCert. Позже выяснилось, что логика срабатывания оказалась слишком широкой, из-за чего под подозрение попали и безопасные корневые сертификаты. После проверки правила скорректировали, а ложные предупреждения автоматически убрали.
История началась с инцидента в самой DigiCert. В начале апреля злоумышленники атаковали сотрудника службы поддержки, отправив сообщение с вредоносным ZIP-архивом под видом скриншота. Несколько попыток заблокировали, однако в итоге один компьютер всё же скомпрометировали. Позже злоумышленники получили доступ и ко второй системе, где защитный датчик временно не работал.
Используя доступ к внутреннему порталу поддержки, злоумышленники смогли просматривать учётные записи клиентов от их имени. В ряде случаев удалось получить коды инициализации для уже одобренных, но ещё не выданных сертификатов подписи кода. Этого оказалось достаточно, чтобы оформить действующие сертификаты.
DigiCert отозвала 60 таких сертификатов, из них 27 связали с вредоносной кампанией Zhong Stealer. Несмотря на название, вредоносная программа ведёт себя скорее как средство удалённого управления, чем как классический похититель данных. Программу распространяли через фишинговые письма с приманкой в виде изображений, после чего загружался основной модуль из облачных хранилищ и запускались подписанные компоненты.
Исследователи, включая Squiblydoo , MalwareHunterTeam и g0njxa , сообщили, что для подписи вредоносного ПО использовались сертификаты, выданные известным компаниям, таким как Lenovo, Kingston, Shuttle Inc и Palit Microsystems.
Примечательно, что сертификаты, которые удалял Защитник Windows, не совпадают с теми, что использовались для подписи вредоносных программ и были отозваны DigiCert. Ошибка затронула именно корневые сертификаты в системе доверия Windows, что и привело к массовым сбоям и панике среди пользователей.
- Источник новости
- www.securitylab.ru
