W skrócie
Na komputerach z Windows 11 masowo pojawiają się alerty Microsoft Defender o rzekomym trojanie „Cerdigent”, ale źródłem problemu są skompromitowane certyfikaty DigiCert, a nie klasyczne złośliwe oprogramowanie. Atakujący uzyskał dostęp do systemów wsparcia DigiCert i wygenerował legalnie wyglądające certyfikaty do podpisywania kodu, z których część powiązano ze złośliwym oprogramowaniem Zhong Stealer. Dla większości użytkowników alarmy Cerdigent będą najpewniej fałszywie pozytywne, ale sprawy nie można całkowicie ignorować – potrzebne są aktualizacje systemu, Defendera i podstawowa higiena bezpieczeństwa.
- W skrócie
- Skąd wzięły się alarmy Cerdigent w Microsoft Defender
- Co wydarzyło się w DigiCert – atak na systemy wsparcia
- 60 unieważnionych certyfikatów i złośliwy Zhong Stealer
- Cerdigent – prawdziwe zagrożenie czy efekt uboczny unieważnionych certyfikatów?
- Co powinien zrobić zwykły użytkownik Windows 11
- Dlaczego incydent z DigiCert jest tak poważny dla całej branży
- Podsumowanie
Skąd wzięły się alarmy Cerdigent w Microsoft Defender
Użytkownicy Windows 11 i serwerów Microsoft zaczęli zgłaszać falę ostrzeżeń z Microsoft Defender, który wykrywa zagrożenie o nazwie „Cerdigent”. Początkowo wyglądało to na dużą kampanię złośliwego oprogramowania, ale analiza szybko wskazała na inny punkt wspólny – certyfikaty wystawiane przez DigiCert, jedną z najważniejszych firm w ekosystemie zaufania do kodu i stron internetowych.
Zintegrowany antywirus systemu Windows reaguje więc nie tylko na same pliki, ale także na to, jakim certyfikatem są podpisane. Gdy określone certyfikaty zostają unieważnione jako potencjalnie nadużyte, całe oprogramowanie z takim podpisem może nagle zostać oznaczone jako podejrzane. Oficjalne informacje o wbudowanych mechanizmach ochrony w pakiecie Microsoft Defender można znaleźć na oficjalnej stronie Microsoft.
Co wydarzyło się w DigiCert – atak na systemy wsparcia
Sedno problemu opisuje raport w systemie Bugzilla firmy Mozilla, gdzie szczegółowo wyjaśniono, że atakujący uzyskał ograniczony dostęp do wewnętrznych systemów wsparcia DigiCert po włamaniu się na komputer jednego z analityków. Umożliwiło mu to zdobycie tzw. kodów inicjujących dla niewielkiej liczby certyfikatów służących do podpisywania kodu.
Po połączeniu tych kodów z zatwierdzonymi zleceniami wystawienia certyfikatów, napastnik mógł wygenerować w pełni ważne certyfikaty, które wyglądały identycznie jak wydane w prawidłowy sposób. Oprogramowanie podpisane w ten sposób przechodziło przez mechanizmy zaufania Windows i wielu antywirusów – w tym Defendera – bez wzbudzania podejrzeń. To uderza w sam fundament modelu zaufania opartego na certyfikatach, na którym stoją współczesne systemy operacyjne i przeglądarki.
60 unieważnionych certyfikatów i złośliwy Zhong Stealer
Po wykryciu incydentu DigiCert przeprowadził dochodzenie i unieważnił łącznie 60 certyfikatów. 27 z nich zostało bezpośrednio powiązanych z atakującym: jedenaście zidentyfikowała społeczność specjalistów od cyberbezpieczeństwa jako używane w złośliwym oprogramowaniu, a szesnaście kolejnych DigiCert odnalazł samodzielnie. Pozostałe 33 certyfikaty unieważniono prewencyjnie.
Zagrożone certyfikaty pochodziły z kilku pośrednich urzędów certyfikacji, m.in. DigiCert Trusted G4 CS RSA4096 SHA256 2021 CA1, GoGetSSL G4 CS RSA4096 SHA256 2022 CA-1 i Verokey Secure High Assurance Code EV. Złośliwe oprogramowanie powiązane z tym łańcuchem nosi nazwę Zhong Stealer – to tzw. infostealer, czyli program kradnący dane logowania i inne wrażliwe informacje z zainfekowanych komputerów.
Cerdigent – prawdziwe zagrożenie czy efekt uboczny unieważnionych certyfikatów?
Najbardziej niepokojące dla użytkowników jest to, że alert Cerdigent nie musi oznaczać faktycznej infekcji. W bazie zagrożeń Microsoftu opis „Cerdigent.A!dha” jest bardzo ogólny – informuje jedynie, że zagrożenie „może wykonywać różne działania na urządzeniu według uznania atakującego”. To nie daje jasnej odpowiedzi, czy chodzi o realnie działającego trojana, czy raczej o wykrycie wzbudzane przez sam fakt użycia unieważnionego certyfikatu.
W praktyce część wykryć prawdopodobnie jest fałszywie pozytywna: programy podpisane certyfikatem, który później cofnięto, stają się automatycznie podejrzane dla silników antywirusowych, mimo że nie muszą zawierać żadnego złośliwego kodu. Jednocześnie, ponieważ incydent powiązano z realnym złośliwym oprogramowaniem (Zhong Stealer), nie można po prostu założyć, że „to tylko błąd”. Potrzebna jest więc ostrożność, ale bez paniki.
Co powinien zrobić zwykły użytkownik Windows 11
Jeśli na Twoim komputerze pojawi się ostrzeżenie Microsoft Defender dotyczące Cerdigent, pierwszym krokiem nie powinno być formatowanie dysku, tylko kilka podstawowych działań.
Warto:
- Upewnić się, że Windows jest w pełni zaktualizowany, korzystając z Windows Update.
- Sprawdzić, czy Microsoft Defender ma najnowsze definicje zagrożeń (aktualizacje sygnatur).
- Obserwować oficjalne komunikaty Microsoft i DigiCert, bo w razie powszechnych fałszywych alarmów zwykle w ciągu kilku dni publikowane są poprawki reguł wykrywania.
Jeżeli po aktualizacji systemu i bazy Defendera alert nadal się pojawia, warto przeanalizować, który konkretny plik lub program go wywołuje:
- jeśli to mało znane narzędzie pobrane z niepewnego źródła, rozsądne może być jego usunięcie,
- jeśli chodzi o znane i zaufane oprogramowanie, lepiej wstrzymać się z drastycznymi krokami i sprawdzić, czy producent nie opublikował informacji o problemach z certyfikatami.
Więcej informacji o tym, jak działa wbudowane zabezpieczenie systemu, można znaleźć w sekcji o Microsoft Defender na stronie Microsoft poświęconej Windows.
Dlaczego incydent z DigiCert jest tak poważny dla całej branży
Choć liczba unieważnionych certyfikatów nie jest ogromna, problem dotyka samego „kręgosłupa” bezpieczeństwa w świecie IT – infrastruktury klucza publicznego (PKI) i zaufanych certyfikatów. Jeśli atakujący jest w stanie wygenerować legalnie wyglądające certyfikaty kodu, to może podpisywać nimi dowolne oprogramowanie, które będzie traktowane przez system jak w pełni zaufane.
Takie incydenty zmuszają zarówno dostawców systemów operacyjnych, jak i wystawców certyfikatów do regularnego audytowania procedur, ograniczania dostępu do systemów wewnętrznych i szybkiego unieważniania wszystkiego, co mogło zostać naruszone. Dla użytkownika końcowego oznacza to niestety okres, w którym część aplikacji może nagle być oznaczana jako potencjalnie niebezpieczna – nawet jeśli sama w sobie nie zawiera żadnego malware’u.
Podsumowanie
Afera z Cerdigent pokazuje, że nawet najlepiej zaprojektowany model zaufania do oprogramowania bywa kruchy, jeśli zawiedzie jeden z jego kluczowych elementów – w tym przypadku DigiCert i zabezpieczenia dostępu do systemów wsparcia. Dla zwykłych użytkowników Windows 11 ważna wiadomość jest taka, że masowe alerty Defendera nie muszą oznaczać, że komputer został automatycznie przejęty przez trojana, ale też nie są czymś, co można całkowicie zignorować.
Zamiast paniki warto postawić na aktualizacje, monitoring komunikatów producentów i spokojną analizę tego, które programy generują alarmy. Ten incydent to też przypomnienie, że nawet podpis cyfrowy nie jest stuprocentową gwarancją bezpieczeństwa – to ważny element układanki, ale nadal trzeba dbać o zdrowy rozsądek przy instalowaniu oprogramowania i podstawową higienę bezpieczeństwa w sieci.