Microsoft Defender 向 Windows 11 及服务器系统推送了大量针对“Cerdigent”木马的警报,引发全球用户与安全专家关注。初步调查表明,此举并非源于真实的恶意软件传播,而是安全软件错误识别了通过非法渠道获取的数字签名证书。
DigiCert 证书泄露事件始末
该事件的根源可追溯至数字证书授权机构 DigiCert 遭遇的安全入侵。攻击者通过攻破一名内部支持分析师的电脑,获取了访问 DigiCert 内部支持系统的权限。借此途径,攻击者提取了少量代码签名证书的初始化代码。这些代码与合法订单结合后,足以生成被 Windows 等操作系统及杀毒软件视为可信的签名文件。
恶意软件利用与证书吊销
DigiCert 在事后确认,攻击者利用非法签发的证书对恶意软件进行了签名伪装。针对被滥用的代码,DigiCert 共吊销了 60 张证书。其中 27 张被明确关联至攻击者行为(11 张由社区发现并上报,16 张由 DigiCert 自行调查确认)。剩余 33 张证书则作为预防措施被批量吊销。调查指出,这些被攻破的证书已被用于为“Zhong Stealer”恶意软件家族签署代码。
Defender 误报机制与应对建议
由于代码签名证书在现代操作系统的信任模型中扮演核心角色,其一旦被滥用便会模糊合法软件与恶意程序的界限。Microsoft 威胁数据库目前针对该威胁的描述仅为“Cerdigent.A!dha 可执行攻击者选择的任意恶意操作”。目前证据显示,多数警报实为误报。安全厂商通常会在识别到大规模误报后快速发布签名修正,建议受影响用户密切关注安全更新动态。
via Neowin
