Falsos Positivos

Recentemente, o Microsoft Defender começou a identificar certificados raiz legítimos da DigiCert como o malware Trojan:Win32/Cerdigent.A!dha, resultando em alertas de falsos positivos em larga escala. O problema teve início após uma atualização de assinatura do Defender em 30 de abril, levando à remoção de certificados da loja de confiança do Windows em sistemas afetados. Administradores relataram que os certificados identificados incluem dois hashes específicos. A situação gerou preocupação entre os usuários, muitos dos quais acreditaram que seus dispositivos estavam infectados e optaram por reinstalar o sistema operacional. A Microsoft já lançou uma atualização de inteligência de segurança que corrige as detecções e restaura os certificados removidos. Este incidente ocorre em um contexto em que a DigiCert enfrentou uma violação de segurança, permitindo que atacantes obtivessem certificados de assinatura de código válidos usados para assinar malware. A DigiCert revogou 60 certificados de assinatura de código, incluindo aqueles associados a uma campanha de malware chamada Zhong Stealer. Embora a Microsoft não tenha confirmado uma ligação direta entre os falsos positivos e a violação da DigiCert, a coincidência de tempo e o foco nos certificados da DigiCert levantam questões sobre uma possível conexão.