Microsoft Defender за последние дни вызвал тревогу у бесчисленного количества пользователей по всему миру ложными срабатываниями (откроется в новом окне). Как сообщает Bleeping Computer (откроется в новом окне), корневые сертификаты поставщика Digicert были ошибочно помечены как угроза, в результате чего Defender выдавал соответствующие предупреждения и удалял сертификаты. Однако сейчас уже вышло обновление, исправляющее эту ошибку.

Редакция Golem также смогла наблюдать ложное срабатывание в воскресенье на устройстве с Windows. Сертификаты Digicert были классифицированы как угроза Trojan:Win32/Cerdigent.A!dha (откроется в новом окне) и удалены из хранилища доверенных сертификатов. "Эта программа опасна и выполняет команды злоумышленника", — говорилось в сообщении защитного ПО.

Исследователь безопасности Флориан Рот также указал на ложные срабатывания в X (откроется в новом окне). По его словам, затронуты корневые сертификаты с хешами 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 и DDFB16CD4931C973A2037D3FC83A4D7D775D05E4. Причиной, по словам Рота, является обновление сигнатур для Defender, выпущенное 30 апреля.

Инцидент безопасности у Digicert

Согласно Bleeping Computer, Microsoft уже предоставила исправление с обновлением Security Intelligence Update 1.449.430.0. Оно должно также восстановить уже удаленные сертификаты. Обычно обновление устанавливается автоматически. Те, кто хочет помочь вручную и ускорить процесс, могут запустить поиск (откроется в новом окне) через настройки операционной системы.

"Microsoft Defender подавил предупреждения для клиентских сред и очистил их", — пояснили в Microsoft. За исключением обновления Defender, никаких дополнительных действий со стороны пользователя в связи с этими предупреждениями не требуется. Корпорация уже уведомила затронутые организации.

Ложные срабатывания, вероятно, связаны с инцидентом безопасности у Digicert (откроется в новом окне), в ходе которого злоумышленник недавно получил доступ к сертификатам подписи кода поставщика и успешно подписал с их помощью вредоносное ПО. Microsoft, вероятно, хотела защитить пользователей Windows от этого вредоносного ПО с помощью обновления Defender, но случайно вызвала срабатывания для указанных корневых сертификатов.