Notebookcheck Logo

Microsoft Defender segnala i certificati DigiCert come malware

Un aggiornamento difettoso della firma di Microsoft Defender ha fatto sì che i certificati root affidabili di DigiCert venissero segnalati come malware e rimossi dai sistemi Windows.
ⓘ magnific.com/author/kjpargeter
Un aggiornamento difettoso della firma di Microsoft Defender ha fatto sì che i certificati root affidabili di DigiCert venissero segnalati come malware e rimossi dai sistemi Windows.
Un aggiornamento difettoso della firma di Defender ha segnalato due certificati root DigiCert affidabili come malware e li ha rimossi dai sistemi Windows di tutto il mondo.
Desktop Laptop / Notebook Microsoft Software Windows Security

Microsoft Defender ha segnalato come malware due dei certificati root più affidabili di Internet la scorsa settimana, causando un'interruzione diffusa negli ambienti Windows aziendali. Il falso positivo è iniziato il 30 aprile, quando un aggiornamento della firma di Defender ha introdotto un rilevamento etichettato come Trojan:Win32/Cerdigent.A!dha. Invece di individuare il malware, il rilevamento corrispondeva erroneamente agli hash crittografici di due certificati root di DigiCert, presenti praticamente su tutti i computer Windows in uso oggi.

I certificati interessati sono DigiCert Assured ID Root CA, impronta 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43, e DigiCert Trusted Root G4, impronta DDFB16CD4931C973A2037D3FC83A4D7D775D05E4. Entrambi sono presenti da anni nell'archivio di fiducia di Windows e vengono utilizzati per convalidare le connessioni SSL/TLS, le operazioni di firma dei codici e le chiamate API in milioni di sistemi aziendali e consumer. Quando Defender li ha messi in quarantena, queste catene di convalida si sono spezzate. Alcuni amministratori hanno trascorso ore a diagnosticare i malfunzionamenti del servizio prima di identificare la causa. Altri, vedendo apparire un rilevamento di Trojan nella loro console di sicurezza, hanno reinstallato completamente il sistema operativo.

Cosa l'ha causato

Il falso positivo è legato a un incidente reale di DigiCert. All'inizio di aprile, gli aggressori hanno utilizzato un file ZIP dannoso camuffato da screenshot di un cliente per compromettere due endpoint del team di supporto dell'azienda, sfruttando un'implementazione EDR mal configurata su una macchina che non è riuscita a rilevare la consegna iniziale. Gli aggressori hanno avuto accesso al portale di supporto interno di DigiCert e hanno ottenuto i codici di inizializzazione per un numero limitato di certificati EV code-signing. DigiCert ha identificato e revocato 60 certificati, compresi quelli legati alla campagna malware Zhong Stealer, entro 24 ore.

Microsoft si è mossa rapidamente per spingere i rilevamenti di Defender a proteggere i clienti dal malware firmato con i certificati compromessi. La logica di rilevamento impiegata era troppo ampia. Ha rilevato le CA radice legittime di DigiCert insieme ai certificati di firma in codice revocati, innescando azioni di quarantena sui sistemi Windows che non avevano fatto nulla di male. "All'inizio della giornata abbiamo stabilito che sono stati erroneamente attivati degli avvisi falsi positivi e abbiamo aggiornato la logica degli avvisi", ha dichiarato Microsoft a BleepingComputer. La correzione è stata fornita con l'aggiornamento 1.449.430.0 di Security Intelligence. I sistemi che hanno applicato l'aggiornamento hanno ripristinato automaticamente i loro certificati. Gli amministratori di ambienti con politiche di aggiornamento limitate hanno dovuto verificare il ripristino manualmente utilizzando certutil -store AuthRoot | findstr -i "digicert".

Cosa fare se è ancora interessato

Alcuni utenti hanno riferito di vedere ancora l'avviso Trojan:Win32/Cerdigent.A!dha sulla versione di definizione 1.449.446.0, il che suggerisce che la correzione non si è propagata completamente in tutti i percorsi di distribuzione delle definizioni. La raccomandazione di Microsoft è di aggiornare Defender all'ultima versione disponibile di Security Intelligence tramite Impostazioni, quindi Sicurezza di Windows, poi Protezione da virus e minacce, quindi Aggiornamenti di protezione. L'esecuzione di Windows Update e il riavvio del computer dovrebbero completare il ripristino dei certificati in quarantena. DigiCert ha confermato sul suo blog che i certificati erroneamente rimossi da Defender dovrebbero essere ripristinati automaticamente una volta applicato l'aggiornamento e che non si è verificata alcuna compromissione più ampia di certificati, account o sistemi dei clienti.

Si tratta di un'altra significativa interruzione legata agli aggiornamenti di Microsoft nei mesi di aprile e maggio, a seguito dell'aggiornamento KB5083769 sulle macchine HP e Dell, la spinta all'aggiornamento forzato a Windows 11 25H2, e lo stesso aggiornamento che ha interrotto gli strumenti di backup di terze parti di Acronis e Macrium. Notebookcheck ha trattato il problema KB5083769 situazione.

Please share our article, every link counts!
Mail Logo

Articoli collegati

> Recensioni e prove di notebook, tablets e smartphones > News > Newsarchive 2026 05 > Microsoft Defender segnala i certificati DigiCert come malware
Darryl Linington, 2026-05- 7 (Update: 2026-05- 7)