Защитник Microsoft по ошибке определяет корневые сертификаты как вредоносное ПО
Мы доверяем им почти бездумно. Антивирусы являются частью той невидимой сети, которая поддерживает безопасность наших систем, уровень, который мы редко подвергаем сомнению, пока что-то не выйдет из строя. Защитник Microsoft, который уже много лет встроен в Windows изначально, является одним из таких молчаливых защитников. Вот почему, когда что-то в этом механизме выходит из строя, эффект особенно бросается в глаза.
Работа этих решений безопасности в значительной степени поддерживается системами обнаружения по сигнатурам, шаблонам, которые позволяют идентифицировать известное вредоносное поведение или файлы. Это эффективный, но не надежный подход. Иногда ошибочное совпадение может привести к тому, что законный файл будет идентифицирован как угроза, что приведет к известным ложным срабатываниям — проблема, которая, хотя и редко встречается в критических сценариях, все же присутствует.
Именно это и произошло с недавним обновлением системы безопасности Microsoft Defender. Начиная с версии 1.449.424.0, распространение которой началось в эти выходные, некоторые системы начали обнаруживать определенные файлы, которые являются неотъемлемой частью инфраструктуры безопасности Windows, как вредоносное ПО. Проблема связана не с фактическим заражением, а с ошибкой в самом обновлении.
Затронутыми элементами являются два широко используемых корневых сертификата: DigiCert Assured ID Root CA и DigiCert Trusted Root G4. Эти сертификаты являются частью базы доверия системы, поскольку они используются для проверки безопасных подключений к большому количеству служб и веб-сайтов. Проще говоря, они действуют как органы власти, которые гарантируют, что зашифрованное соединение является законным.
Когда Защитник Microsoft определяет эти сертификаты как угрозу и помещает их в карантин, система может начать вести себя неожиданно. Проверка защищенных подключений может завершиться сбоем, что в некоторых случаях может привести к ошибкам при доступе к веб-страницам, онлайн-службам или приложениям, для правильной работы которых требуются действительные сертификаты.
Похоже, проблема кроется в обнаружении, представленном в этом обновлении под названием “Cerdigent”. Все указывает на то, что эта новая подпись ошибочно совпала с криптографическими хэшами сертификатов DigiCert, в результате чего антивирус идентифицировал их как вредоносные. Речь идет не о вредоносном коде или активной кампании вредоносного ПО, а о сбое в логике обнаружения.
Ситуация вызвала некоторую первоначальную путаницу в средах безопасности: в нескольких отчетах говорилось о серьезных инцидентах. Однако консенсус не заставил себя долго ждать: это был ложноположительный результат. Хотя Microsoft на данный момент не выпустила подробного официального заявления, некоторые признаки указывают на то, что компания уже начала устранять проблему с помощью новых обновлений сведений о безопасности.
Между тем, существуют временные обходные пути для тех, кто был затронут. Среди них возможность восстановления помещенных в карантин сертификатов и добавление исключений вручную в Защитник Microsoft, чтобы предотвратить их повторное обнаружение как угрозы. Это не обычная ситуация, но это напоминание о том, что даже системы, предназначенные для нашей защиты, могут допускать ошибки. И когда они это сделают, влияние может быть больше, чем можно было бы ожидать на первый взгляд.
Редактор: AndreyEx
