Nos últimos dias, muitos administradores e usuários do Windows viram alertas que vinculavam certificados legítimos de DigiCert com a detecção Trojan:Win32/Cerdigent.A!dha da Microsoft Defender; em alguns equipamentos esses certificados foram até eliminados do armazém de confiança do Windows (AuthRoot), provocando confusão e, em casos extremos, reinstalações desnecessárias do sistema operacional.
A causa imediata foi uma atualização de assinaturas de Defender enviada no final de abril que acrescentou essa detecção; a Microsoft distribuiu posteriormente correções nas versões de inteligência de segurança 1.449.430.0 e sucessora 1.449.431.0 para retirar a falsa positiva e, segundo relatórios, restaurar certificados eliminados em sistemas afetados. Você pode consultar a descrição da detecção na enciclopédia da Microsoft: Microsoft Malware Encyclopedia, e a cobertura técnica inicial que seguiu o incidente está disponível em BleepingComputer: BleepingComputer.
Este evento chega em paralelo a um incidente de segurança em DigiCert onde atacantes obtiveram “códigos de inicialização” que permitiram emitir alguns certificados de assinatura de código EV, vários dos quais foram usados para assinar malware. Essa brecha explica por que os pesquisadores viram certificados DigiCert ligados a campanhas maliciosas, mas as entradas que Defender marcou eram certificados raiz no armazém de confiança, não necessariamente os certificados de assinatura de código revogados, o que acrescenta complexidade à pesquisa e aumenta o risco de danos colaterais ao manejo automático de assinaturas por parte de soluções AV.
As implicações práticas são importantes: a eliminação ou alteração do AuthRoot pode produzir erros de TLS/HTTPS, falhas na validação de assinaturas de código e problemas em aplicações que dependem da cadeia de confiança do sistema. Para as organizações isso pode ser traduzido em serviços inacessíveis, assinaturas rejeitadas pelo Windows SmartScreen ou interrupções em fluxos de implantação e atualizações.
Se o seu ambiente foi afetado, evita ações drásticas como reinstalar o sistema sem antes verificar fatos básicos. Primeiro, forza a atualização de assinaturas de Defender(Windows Security > Vírus e proteção contra ameaças > Actualizações de proteção > Procurar atualizações) ou verifique por PowerShell a versão de assinaturas com Get-MpComputerStatus (módulo Defender). Depois de atualizar, verifique se os certificados foram restaurados automaticamente e executa uma análise completa com Defender para confirmar que não há restos maliciosos.
Se os certificados continuarem ausentes, verifique o armazém local e os registos: com o PowerShell, você pode listar o armazém de raízes locais (Cert:\LocalMachine\AuthRoot) e exportar/volver a importar certificados legítimos se você tiver uma cópia. O Windows também pode recuperar raízes através do serviço de atualização automática de certificados, e se você precisa restaurar manualmente você pode usar certutil ou PowerShell para adicionar certificados confiáveis. Em qualquer caso, conserva cópias dos certificados e do registo antes de fazer alterações e documenta a intervenção para auditoria.
Além de restaurar a confiança, adota controles post-incidentes: verifica integridade do sistema com SFC /scannow e DISM /Online /Cleanup-Image /RestoreHealth, revisa logs e acessos recentes, rota credenciais administrativas expostas e aplica buscas de indicadores de compromisso (IoC) relacionados à campanha que usou certificados comprometidos. Se você gerencia muitos endpoints, prioriza a atualização de assinaturas em suas ferramentas de gerenciamento central e monitora help desks e fóruns para diagnosticar dispositivos que tenham recebido ações automáticas de eliminação.
Finalmente, é importante separar dois problemas relacionados, mas distintos: a emissão fraudulenta ou uso malicioso de certificados de assinatura (o problema originário em DigiCert) e as falsos positivos de soluções antivírus que afetam certificados raiz. Para acompanhamento e contexto técnico, revisa o traço público do incidente de DigiCert (discussão em plataformas técnicas como o bug de seguimento do Mozilla) e a divulgação da Microsoft sobre a detecção: Bugzilla sobre o incidente de DigiCert.
Se precisar, posso ajudá-lo a elaborar procedimentos concretos para auditar e, se for caso disso, restaurar certificados em um computador ou numa frota, incluindo os comandos recomendados e verificações forenses mínimas antes de aceitar qualquer restauração automática.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...