Uma atualização recente do Microsoft Defender, solução de segurança nativa do Windows, provocou uma falha que levou o sistema a identificar certificados raiz legítimos da DigiCert como ameaça maliciosa. Em alguns casos, além de emitir alertas falsos, o antivírus chegou a remover automaticamente esses certificados do repositório de confiança do sistema operacional.
O problema começou após a distribuição de uma atualização de definições antivírus publicada pela Microsoft em 30 de abril. O caso foi inicialmente identificado pelo pesquisador de segurança Florian Roth, e rapidamente passou a ser relatado por administradores de sistemas e usuários em fóruns especializados, como o Reddit.
O que estava sendo detectado
A ameaça falsa foi registrada pelo Defender como “Trojan:Win32/Cerdigent.A!dha”.
Os certificados afetados possuíam os seguintes identificadores:
- 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
- DFB16CD4931C973A2037D3FC83A4D7D775D05E4
Esses arquivos são certificados raiz essenciais para o funcionamento do Windows, pois permitem ao sistema validar conexões seguras, autenticar softwares assinados digitalmente e reconhecer autoridades certificadoras confiáveis.
Nos computadores impactados, o Defender removeu entradas desses certificados diretamente de uma chave crítica do Registro do Windows, comprometendo a cadeia de confiança digital da máquina.
Usuários chegaram a reinstalar o Windows
A situação gerou pânico entre usuários menos experientes.
Ao receber alertas indicando a presença de um suposto trojan, muitos concluíram que seus dispositivos haviam sido comprometidos e optaram por reinstalar completamente o sistema operacional — uma medida extrema e desnecessária.
A confusão foi agravada pelo fato de o Defender ter adotado o comportamento típico de uma remoção legítima de malware: alertar, isolar e excluir automaticamente os arquivos suspeitos.
Microsoft liberou correção
A Microsoft corrigiu o erro com a atualização 1.449.430.0 das definições de segurança. A versão mais recente disponibilizada na sequência foi a 1.449.431.0.
Segundo relatos de usuários, o update não apenas elimina os falsos positivos, como também restaura automaticamente os certificados removidos.
A atualização manual pode ser feita pelo caminho:
Segurança do Windows → Proteção contra vírus e ameaças → Atualizações de proteção → Verificar atualizações
Em nota oficial, a empresa informou que a detecção incorreta foi desativada remotamente e que organizações afetadas foram notificadas. Administradores podem acompanhar detalhes adicionais no painel de saúde do serviço dentro do Microsoft 365 Admin Center.
O erro tem ligação com incidente real na DigiCert
Embora a detecção tenha sido equivocada, ela surgiu em meio a um incidente de segurança legítimo envolvendo a DigiCert.
O ataque começou em abril, quando criminosos enviaram mensagens fraudulentas ao suporte da empresa com arquivos ZIP disfarçados de capturas de tela.
Após várias tentativas frustradas, os invasores conseguiram comprometer o dispositivo de um analista de suporte. Um segundo sistema também foi infectado e permaneceu sem detecção devido a falhas na proteção de endpoint.
Com esse acesso, os atacantes exploraram uma funcionalidade interna do portal da DigiCert que permitia visualizar contas de clientes.
Como certificados válidos foram comprometidos
A invasão expôs os chamados códigos de inicialização, usados para liberar certificados de assinatura de código EV (Extended Validation) previamente aprovados.
Esses certificados funcionam como selos digitais que comprovam a legitimidade de softwares perante o Windows.
Com acesso simultâneo aos pedidos aprovados e aos respectivos códigos de ativação, os invasores conseguiram emitir certificados válidos e utilizá-los para assinar malware.
A DigiCert informou ter revogado 60 certificados comprometidos, sendo:
- 27 ligados à campanha do malware Zhong Stealer
- 11 identificados por pesquisadores externos
- 16 descobertos durante investigação interna
Malware usava identidade de empresas conhecidas
Pesquisadores como Squiblydoo, MalwareHunterTeam e g0njxa identificaram o uso dos certificados roubados para assinar códigos maliciosos em nome de empresas conhecidas, incluindo:
- Lenovo
- Kingston
- Shuttle Inc.
- Palit Microsystems
O grupo responsável foi atribuído ao GoldenEyeDog (APT-Q-27), apontado como uma operação ligada à China.
O malware principal da campanha, o Zhong Stealer, embora inicialmente classificado como infostealer, apresenta comportamento mais próximo de um trojan de acesso remoto.
Certificados removidos não tinham relação direta com o ataque
Apesar da conexão temporal entre os casos, a Microsoft esclareceu que os certificados raiz removidos pelo Defender não eram os certificados comprometidos utilizados pelos criminosos.
Na prática, o antivírus acabou classificando como maliciosos arquivos legítimos do repositório de confiança do Windows, sem relação direta com os certificados revogados pela DigiCert.
