Creyeron que era un virus y empezaron a reinstalar Windows; al final resultó ser culpa del propio antivirus.

Usuarios de Windows en todo el mundo recibieron de forma inesperada advertencias preocupantes. El sistema de protección empezó a considerar como maliciosos certificados digitales raíz clave, de los que depende el funcionamiento normal de numerosos servicios. Algunos pensaron que se trataba de una infección e incluso reinstalaron el sistema.

El problema afectó al antivirus integrado Windows Defender, que comenzó a identificar certificados raíz legítimos de la empresa DigiCert como el troyano Trojan:Win32/Cerdigent.A!dha. El error apareció después de una actualización de firmas del 30 de abril. Ya al día siguiente los administradores notaron que los registros de certificados se marcaban como maliciosos y se eliminaban del almacén de confianza de Windows.

La eliminación se realizaba directamente desde el registro del sistema, en la rama donde se almacenan los certificados raíz. Como resultado, algunas aplicaciones y servicios podían dejar de funcionar correctamente, ya que el sistema perdía la confianza en los componentes firmados.

Los informes sobre detecciones erróneas se difundieron rápidamente en los foros. Los usuarios compartían las huellas de los certificados que el sistema había marcado como maliciosos y publicaban capturas de pantalla de las advertencias. En algunos dispositivos el antivirus no solo generaba la alerta, sino que también eliminaba los certificados sin notificaciones adicionales.

Más tarde Microsoft lanzó una corrección en la actualización de firmas con la versión 1.449.430.0. La versión siguiente también incluye una rectificación. Tras instalar las actualizaciones, el antivirus dejó de generar las detecciones erróneas y, según usuarios, restauró los certificados eliminados anteriormente.

La compañía explicó la situación así. El sistema de protección añadió reglas de detección tras informes sobre la compromisión de certificados vinculados al incidente en DigiCert. Más tarde se comprobó que la lógica de activación era demasiado amplia, por lo que también quedaron bajo sospecha certificados raíz seguros. Tras la verificación, se ajustaron las reglas y las advertencias falsas se eliminaron de forma automática.

La historia empezó con un incidente en la propia DigiCert. A principios de abril los atacantes comprometieron a un empleado del servicio de soporte al enviar un mensaje con un archivo ZIP malicioso disfrazado de captura de pantalla. Varios intentos fueron bloqueados, pero finalmente un equipo fue comprometido. Más tarde los atacantes obtuvieron acceso también a un segundo sistema, donde el sensor de protección no funcionaba temporalmente.

Utilizando el acceso al portal interno de soporte, los atacantes pudieron ver cuentas de clientes en su nombre. En varios casos lograron obtener códigos de inicialización para certificados de firma de código ya aprobados pero aún no emitidos. Eso fue suficiente para expedir certificados válidos.

DigiCert revocó 60 de esos certificados, de los cuales 27 se relacionaron con la campaña maliciosa Zhong Stealer. A pesar del nombre, el malware actúa más bien como una herramienta de control remoto que como un ladrón de datos clásico. El programa se difundía mediante correos de phishing con un cebo en forma de imágenes, tras lo cual se descargaba el módulo principal desde almacenes en la nube y se ejecutaban los componentes firmados.

Investigadores, incluidos Squiblydoo, MalwareHunterTeam y g0njxa, informaron que para firmar el software malicioso se usaron certificados emitidos a empresas conocidas como Lenovo, Kingston, Shuttle Inc y Palit Microsystems.

Cabe destacar que los certificados que eliminó Windows Defender no coinciden con aquellos que se utilizaron para firmar el software malicioso y que DigiCert revocó. El error afectó específicamente a los certificados raíz en el almacén de confianza de Windows, lo que provocó fallos masivos y pánico entre los usuarios.