Microsoft DefenderがDigiCert証明書をTrojan:Win32/Cerdigent.A!dhaとして誤ってフラグを立てる

Microsoft DefenderがDigiCert証明書をTrojan:Win32/Cerdigent.A!dhaとして誤ってフラグを立てる News

Microsoft

更新:この記事の最初のセクションの最後にマイクロソフト社の声明を追加しました。

Microsoft Defenderが、正規のDigiCertルート証明書をTrojan:Win32/Cerdigent.A!dhaとして検出し、偽陽性の警告が広まり、場合によってはWindowsから証明書が削除されている。

サイバーセキュリティの専門家であるFlorian Roth氏によると、この問題が最初に発生したのは、Microsoftが4月30日にDefenderのシグネチャ更新プログラムにこの検出を追加した後だという。

今日、世界中の管理者が、DigiCertルート証明書エントリがマルウェアとしてフラグを立てられ、影響を受けたシステムではWindowsのトラストストアから削除されたことを報告し始めた

誤検出に関するRedditの投稿によると、検出された証明書は以下の通り:

  • 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
  • DDFB16CD4931C973A2037D3FC83A4D7D775D05E4

影響を受けたシステムでは、これらの証明書がこのレジストリキーの下のAuthRootストアから削除されました:

HKLMSOFTWARE

このような偽陽性がWindowsユーザーの間で懸念され、デバイスが感染していると考え、安全のためにOSを再インストールする人もいる。

Microsoft Defender "Trojan:Win32/Cerdigent.A!dha" False Positive
Microsoft Defender “Trojan:Win32/Cerdigent.A!dha” False Positive
ソースはこちら:Reddit

Microsoftは、Security Intelligenceアップデートバージョン1.449.430.0でこの検出を修正したと報告されており、最新のアップデートは1.449.431.0となっている。

Reddit上の他の報告によると、この修正により、影響を受けるシステム上で以前に削除された証明書も復元されるとのことだ。

新しいMicrosoft Defenderの更新プログラムは自動的にインストールされ、Windowsユーザーは、Windowsセキュリティウイルスと脅威の対策保護の更新プログラムの順にクリックし、更新プログラムのチェックをクリックすることで、手動で強制的に更新することができる。

この記事の公開後、マイクロソフトは、誤検出が最近のDigiCertの侵害による危殆化した証明書の検出に関連していることを確認した。

「危殆化した証明書の報告を受けて、Microsoft Defenderは直ちにDefender Antivirus Softwareにマルウェアの検出機能を追加し、顧客の保護に努めています。本日未明、私たちは誤検知のアラートが誤って発動されたと判断し、アラートロジックを更新しました。

「Microsoft Defender は、顧客の環境に対するアラートを抑制し、クリーンアップしました。お客様は、Security Intelligenceバージョン1.449.430.0以降にアップデートする必要がありますが、これらのアラートに対して追加のアクションを取る必要はありません。我々は、影響を受ける組織に通知し、管理者はM365管理センター内のサービスヘルスダッシュボード(SHD)で詳細を確認することをお勧めします。”

最近のDigiCert違反に関連

この誤検知は、マルウェアに署名するために使用される有効なコード署名証明書を脅威者が入手することを可能にした、公表されたDigiCertセキュリティインシデントの直後に発生した。

「マルウェアインシデントは、カスタマーサポートチームメンバーを標的としました。DigiCertのインシデントレポートでは、「マルウェアインシデントは、カスタマーサポートチームメンバーを標的にしたもので、検知後、脅威ベクトルは封じ込められた」と説明されています。

「その後の調査で、脅威者は限られた数のコード署名証明書の初期化コードを調達することができ、そのうちのいくつかはマルウェアの署名に使用されていたことが判明しました。

「特定された証明書は発見から24時間以内に失効され、失効日は発行日に設定された。予防措置として、対象期間内の保留中の注文はキャンセルされた。詳細については、インシデントレポートにてお知らせいたします。

DigiCertのインシデントレポートによると、攻撃者は4月上旬、スクリーンショットに見せかけた悪意のあるZIPファイルを含むサポートメッセージを作成し、同社のサポートスタッフを標的としました。

何度もブロックされた後、最終的に1人のサポート・アナリストのデバイスが侵害され、その後、エンドポイント・プロテクションの “センサー・ギャップ “のため、一時的に検出されなかった2番目のシステムが侵害されました。

侵入されたサポート環境へのアクセスを利用して、ハッカーはDigiCertの社内サポートポータルの機能を利用し、サポートスタッフが顧客の視点から顧客アカウントを閲覧できるようにしました。

このアクセスにより、範囲は限定されていたものの、以前に承認されたものの未配信のEVコード署名証明書注文の「初期化コード」が公開されました。

初期化コードを所持し、承認された注文と組み合わせることで、証明書を取得することができる(後述の「要因」を参照)」とDigiCertは説明している。

「脅威者は、承認された注文の有限なセットについて、これら2つの情報を入手することができたため、一連の顧客アカウントとCAにわたってEV Code Signing証明書を入手することができた。

DigiCertは、”Zhong Stealer “マルウェアキャンペーンに関連する27件を含む、60件のコードサイニング証明書を失効させたと述べている。

DigiCertは、「11件は、コミュニティメンバーからDigiCertに提供された証明書に関する問題報告で、マルウェアに関連していることが確認され、16件は、DigiCert独自の調査で確認された」と説明している。

Zhong Stealerマルウェアキャンペーン

これは、新たに発行されたDigiCert EV証明書がマルウェアキャンペーンに使用されていることを確認し、DigiCertに報告したセキュリティ研究者からの以前の報告と一致している。

SquiblydooMalwareHunterTeamg0njxaなどの研究者は、Lenovo、Kingston、Shuttle Inc、Palit Microsystemsなどの有名企業に発行された証明書がマルウェアの署名に使用されていることを報告した。

「Lenovo、Kingston、Shuttle Inc、Palit Microsystemsの共通点は何か?

“これらの企業のEV証明書は、中国の犯罪グループ、#GoldenEyeDog(#APT-Q-27)によって発行され、使用されていた!”

このキャンペーンのマルウェアは “Zhong Stealer “と命名されているが、分析によれば、情報窃取というよりはリモート・アクセス・トロイの木馬(RAT)に近いかもしれない。

研究者によると、このマルウェアは以下のような攻撃で配布されたという:

  • 偽の画像やスクリーンショットを配信するフィッシングメール
  • おとり画像を表示する第一段階の実行ファイル
  • AWSなどのクラウドストレージから第2段階のペイロードを取得
  • 正規ベンダーのコンポーネントを含む、署名されたバイナリやローダーの使用

DigiCertがこのインシデントを公表した後、研究者は、インシデントレポートがこれらのマルウェアキャンペーンで使用された証明書がどのように入手されたかを説明していると述べた。

Microsoft Defenderによってフラグが立てられた証明書は、Windowsのトラストストアにあるルート証明書であり、マルウェアの署名に使用され、失効したDigiCertのコード署名証明書とは一致しないことに注意すべきである。

.article-callout { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; overflow: hidden; } .article-media { flex: 1; max-width: 220px; display: flex; } .article-media a { display: flex; width: 100%; height: 100%; } .article-media img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; display: block; } .article-callout .article-media img { margin-top: 0 !important; height: 100% !important; } .article-body { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .article-body h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .article-body p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .article-link { background-color:#border:color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; padding:10px 20px; width: fit-content; } @media (max-width: 600px) { .article-callout { flex-direction: column; align-items: center; } .article-media { max-width: 100%; } .article-media img { border-radius: 8px 8px 0 0; } .article-body { padding:.article-body { padding: 15px; width: 100%; } .article-link { width: 100%; margin: 0 auto; box-sizing: border-box; } } .


article image

Mythosが発見した問題の99%はまだ未パッチである。

AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスした。新たなエクスプロイトの波が押し寄せている。

自律的検証サミット(5月12日、14日)では、自律的でコンテキストに富んだ検証がどのようにエクスプロイト可能なものを見つけ、コントロールが有効であることを証明し、修復のループを閉じるかをご覧ください。

参加申し込み

Comments

Copied title and URL