Ces derniers jours, de nombreux administrateurs et utilisateurs de Windows ont vu des alertes reliant des certificats DigiCert légitimes à la détection Trojan: Win32 / Cerdigent. A ! DHA de Microsoft Défendeur; dans certaines équipes, ces certificats ont même été retirés du Windows Trust Store (AuthRoot), causant la confusion et, dans des cas extrêmes, des réinstallations inutiles du système d'exploitation.
La cause immédiate était une mise à jour des signatures du Défenseur envoyé à la fin avril qui a ajouté cette détection; Microsoft a ensuite distribué des corrections aux versions de renseignement de sécurité 1.449.430.0 et successeur 1.449.431.0 pour supprimer le faux positif et, selon les rapports, restaurer les certificats supprimés dans les systèmes touchés. La description de détection est disponible dans l'encyclopédie Microsoft: Microsoft Malware Encyclopedia, et la couverture technique initiale après l'incident est disponible sur BleepingComputer: Calculateur.
Cet événement vient en parallèle à un incident de sécurité dans DigiCert où les attaquants ont obtenu des "codes d'initialisation" qui ont permis de délivrer des certificats de signature de code EV, dont plusieurs ont été utilisés pour signer des logiciels malveillants. Cette lacune explique pourquoi les chercheurs ont vu des certificats DigiCert liés à des campagnes malveillantes, mais les entrées que le Défenseur a marquées étaient des certificats racine dans l'entrepôt de fiducie, pas nécessairement les certificats de signature de code révoqués, qui ajoute de la complexité à la recherche et augmente le risque de dommages collatéraux à la gestion automatique des signatures par les solutions AV.
Les implications pratiques sont importantes: la suppression ou la modification de l'AuthRoot peut produire des erreurs TLS / HTTPS, des erreurs dans la validation des signatures de code et des problèmes dans les applications qui dépendent de la chaîne de confiance du système. Pour les organisations, cela peut être traduit en services inaccessibles, signatures rejetées par Windows SmartScreen ou interruptions dans les flux de déploiement et les mises à jour.
Si votre environnement a été affecté, évitez les actions drastiques comme réinstaller le système sans d'abord vérifier les faits de base. Premièrement, forge la mise à jour des signatures du Défenseur(Windows Security > Virus et protection contre les menaces > Mises à jour sur la protection > Rechercher les mises à jour) ou vérifier PowerShell la version signature avec Get-MpComputerStatus (module Defender). Après mise à jour, vérifiez si les certificats ont été automatiquement restaurés et exécutez une analyse complète avec Defender pour confirmer qu'il n'y a pas de restes malveillants.
Si les certificats restent absents, vérifiez l'entrepôt local et enregistrez: avec PowerShell vous pouvez lister le magasin racine local (Cert:\ LocalMachine\ AuthRoot) et exporter / réimporter des certificats légitimes si vous avez une copie. Windows peut également récupérer des racines à travers le service de mise à jour de certificat automatique, et si vous devez restaurer manuellement, vous pouvez utiliser certutil ou PowerShell pour ajouter des certificats fiables. En tout état de cause, il conserve des copies des certificats et de l'enregistrement avant d'apporter des modifications et de documenter l'intervention de vérification.
En plus de restaurer la confiance, il adopte des contrôles post-incident: il vérifie l'intégrité du système avec SFC / scannow et DISM / Online / Cleanup-Image / RestoreHealth, passe en revue les connexions récentes et les accès, brise les références administratives exposées et applique la recherche d'indicateurs d'engagement (IoC) liés à la campagne qui a utilisé des certificats compromis. Si vous gérez de nombreux paramètres, priorisez la mise à jour des signatures dans vos outils d'administration centrale et surveillez les services d'aide et les forums pour diagnostiquer les dispositifs qui ont reçu des actions de suppression automatique.
Enfin, il est important de séparer deux problèmes connexes mais différents: la délivrance frauduleuse ou l'utilisation malveillante des certificats de signature (le problème originaire de DigiCert) et la fausses solutions antivirus positives qui affectent les certificats racine. Pour le suivi et le contexte technique, vérifiez la trace publique de l'incident DigiCert (discussion sur des plateformes techniques telles que le bogue de suivi de Mozilla) et la divulgation de Microsoft sur la détection : Bugzilla sur l'incident de DigiCert.
Si vous en avez besoin, je peux vous aider à rédiger des procédures spécifiques pour vérifier et, le cas échéant, restaurer les certificats d'une équipe ou d'une flotte, y compris les commandes recommandées et les vérifications médico-légales minimales avant d'accepter toute restauration automatique.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...