Notebookcheck Logo

O Microsoft Defender identifica os certificados da DigiCert como malware

Uma atualização de assinatura defeituosa do Microsoft Defender fez com que os certificados raiz confiáveis da DigiCert fossem marcados como malware e removidos dos sistemas Windows.
ⓘ magnific.com/author/kjpargeter
Uma atualização de assinatura defeituosa do Microsoft Defender fez com que os certificados raiz confiáveis da DigiCert fossem marcados como malware e removidos dos sistemas Windows.
Uma atualização de assinatura defeituosa do Defender identificou dois certificados raiz confiáveis da DigiCert como malware e os removeu dos sistemas Windows em todo o mundo.
Desktop Laptop / Notebook Microsoft Software Windows Security

O Microsoft Defender sinalizou dois dos certificados raiz mais confiáveis da Internet como malware na semana passada, causando uma interrupção generalizada em ambientes Windows corporativos. O falso positivo começou em 30 de abril, quando uma atualização de assinatura do Defender introduziu uma detecção rotulada como Trojan:Win32/Cerdigent.A!dha. Em vez de detectar o malware, a detecção correspondeu incorretamente aos hashes criptográficos de dois certificados raiz da DigiCert presentes em praticamente todas as máquinas Windows em uso atualmente.

Os certificados afetados são DigiCert Assured ID Root CA, thumbprint 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43, e DigiCert Trusted Root G4, thumbprint DDFB16CD4931C973A2037D3FC83A4D7D775D05E4. Ambos estão no repositório de confiança do Windows há anos e são usados para validar conexões SSL/TLS, operações de assinatura de código e chamadas de API em milhões de sistemas corporativos e de consumidores. Quando o Defender os colocou em quarentena, essas cadeias de validação foram interrompidas. Alguns administradores passaram horas diagnosticando falhas de serviço antes de identificar a causa. Outros, ao verem uma detecção de Trojan aparecer no console de segurança, reinstalaram o sistema operacional por completo.

O que causou isso

O falso positivo está relacionado a um incidente real na DigiCert. No início de abril, os invasores usaram um arquivo ZIP mal-intencionado disfarçado de captura de tela de um cliente para comprometer dois endpoints da equipe de suporte da empresa, explorando uma implantação de EDR mal configurada em uma máquina que não conseguiu detectar a entrega inicial. Os invasores acessaram o portal de suporte interno da DigiCert e obtiveram códigos de inicialização para um número limitado de certificados de assinatura de código EV. A DigiCert identificou e revogou 60 certificados, incluindo aqueles vinculados à campanha do malware Zhong Stealer, em 24 horas.

A Microsoft agiu rapidamente para impulsionar as detecções do Defender para proteger os clientes contra malware assinado com os certificados comprometidos. A lógica de detecção implantada era muito ampla. Ela detectou as CAs raiz legítimas da DigiCert juntamente com os certificados de assinatura de código revogados, acionando ações de quarentena em sistemas Windows que não tinham feito nada de errado. "Hoje cedo, determinamos que alertas falsos positivos foram acionados por engano e atualizamos a lógica do alerta", disse a Microsoft ao BleepingComputer. A correção foi enviada na atualização 1.449.430.0 do Security Intelligence. Os sistemas que aplicaram a atualização tiveram seus certificados restaurados automaticamente. Os administradores em ambientes com políticas de atualização restritas tiveram que verificar a restauração manualmente usando certutil -store AuthRoot | findstr -i "digicert".

O que fazer se o senhor ainda for afetado

Alguns usuários relataram ainda ver o alerta Trojan:Win32/Cerdigent.A!dha na versão de definição 1.449.446.0, o que sugere que a correção não se propagou totalmente por todos os caminhos de fornecimento de definições. A recomendação da Microsoft é atualizar o Defender para a versão mais recente disponível do Security Intelligence por meio de Configurações, Segurança do Windows, Proteção contra vírus e ameaças e Atualizações de proteção. A execução do Windows Update e a reinicialização da máquina devem concluir a restauração dos certificados em quarentena. A DigiCert confirmou em seu blog que os certificados removidos incorretamente pelo Defender devem ser restaurados automaticamente assim que a atualização for aplicada e que não ocorreu nenhum comprometimento mais amplo dos certificados, contas ou sistemas dos clientes.

Essa é mais uma interrupção significativa relacionada à atualização da Microsoft em abril e maio, após o KB5083769 em máquinas HP e Dell, o push de atualização forçada para o Windows 11 25H2 e a mesma atualização que quebrou ferramentas de backup de terceiros da Acronis e da Macrium. O Notebookcheck cobriu o problema do KB5083769 situação.

Please share our article, every link counts!
Mail Logo

Artigos Relacionados

> Análises e revisões de portáteis e celulares > Notícias > Arquivo de notícias 2026 05 > O Microsoft Defender identifica os certificados da DigiCert como malware
Darryl Linington, 2026-05- 7 (Update: 2026-05- 7)