Windows znowu szaleje. Microsoft Defender straszy wirusem, który nie istnieje

Microsoft reklamuje Defender jako skuteczną ochronę przed wirusami, która z powodzeniem zastępuje zewnętrzne narzędzia. Jak się okazuje program potrafi błędnie oznaczać zagrożenie, które nie istnieje.

Microsoft Defender zaczął ostrzegać przed zagrożeniem o nazwie Cerdigent. Sprawą zainteresowali się specjaliści od bezpieczeństwa, jednak wstępne ustalenia sugerują, iż nie chodzi o malware, lecz problemy związane z certyfikatami. Źródłem zamieszania ma być firma DigiCert odpowiadająca za wydawanie certyfikatów do oprogramowania.

Defender ostrzega przed zagrożeniem, którego nie ma?

Według Bugzilla atakujący uzyskał ograniczony dostęp do wewnętrznych narzędzi wsparcia po przejęciu komputera jednego z pracowników. Dzięki temu mógł zdobyć kody inicjalizacyjne potrzebne do wygenerowania certyfikatów podpisu kodu. Takie certyfikaty pozwalają oznaczyć aplikacje jako zaufane dla systemu oraz oprogramowania zabezpieczającego, dlatego ich nadużycie może prowadzić do sytuacji, w której szkodliwe pliki wyglądają na bezpieczne.

Microsoft Defender zaczął ostrzegać przed zagrożeniem o nazwie Cerdigent. Sprawą zainteresowali się specjaliści od bezpieczeństwa, jednak wstępne ustalenia sugerują, iż nie chodzi o malware, lecz problemy związane z certyfikatami. Źródłem zamieszania ma być firma DigiCert odpowiadająca za wydawanie certyfikatów do oprogramowania.

DigiCert zidentyfikował problem i unieważnił łącznie 60 certyfikatów, z których część była powiązana z malware Zhong Stealer. Mimo to wiele wskazuje na to, że ostrzeżenia Defendera związane z Cerdigent mogą być w dużej mierze fałszywymi alarmami, wynikającymi z zamieszania wokół zaufanych podpisów cyfrowych. Sama baza zagrożeń Microsoftu zawiera ograniczone informacje na temat tej nazwy, co dodatkowo komplikuje sytuację.

Fałszywy alarm

Wychodzi na to, że mamy bardziej do czynienia ze skutkiem ubocznym naruszenia infrastruktury certyfikatów niż z nową falą ataków wymierzonych bezpośrednio w użytkowników. Dlatego w przypadku otrzymania takiego komunikatu od Microsoft Defendera nie powinniśmy wpadać w panikę i na bierząco aktualizować oprogramowanie.

Microsoft Defender posiadał exploit typu zero-day, który został odkryty kilka godzin po wydaniu łatki eliminującej inną lukę. Pozwala ona na nadanie uprawnień SYSTEM, dając atakującemu najwyższy poziom uprawnień w Windowsie, a tym samym pełną kontrolę nad komputerem ofiary. Odkrycia luki dokonał badacz bezpieczeństwa kryjący się pod pseudonimiem Nightmare-Eclipse, który wcześniej opublikował narzędzie pozwalające obejść mechanizmy ochronne Defendera.