AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Microsoft Defender genera falsos positivos y elimina certificados raíz legítimos de DigiCert

admin

### 1. Introducción

En los últimos días, numerosos equipos de TI y profesionales de ciberseguridad han reportado un incremento inusual de alertas por parte de Microsoft Defender. El producto antimalware de Microsoft está clasificando certificados raíz legítimos de DigiCert como la amenaza Trojan:Win32/Cerdigent.A!dha, lo que ha derivado en la eliminación no autorizada de estos certificados críticos para el ecosistema de confianza digital en Windows. Este incidente ha generado preocupación entre responsables de seguridad, administradores de sistemas y analistas SOC, debido al potencial impacto en la integridad de la cadena de confianza y la operatividad de múltiples servicios.

### 2. Contexto del Incidente

DigiCert es una de las principales Autoridades Certificadoras (CA) a nivel global, responsable de emitir certificados SSL/TLS y de firma de código utilizados por empresas, gobiernos y particulares para garantizar la autenticidad y la seguridad de comunicaciones y software. Los certificados raíz de DigiCert están preinstalados en la mayoría de sistemas operativos y navegadores para permitir la verificación de certificados intermedios y finales.

El incidente se detectó tras una actualización de firmas en Microsoft Defender realizada el 1 de junio de 2024. Desde entonces, múltiples organizaciones han informado que el software de seguridad identifica y elimina los certificados raíz de DigiCert, generando alertas clasificadas como Trojan:Win32/Cerdigent.A!dha, un identificador típico para troyanos y malware que en este caso se ha aplicado erróneamente a archivos legítimos.

### 3. Detalles Técnicos

El falso positivo se manifiesta en sistemas Windows con definiciones de firmas de Defender posteriores a la versión 1.411.2106.0. Defender detecta los certificados raíz de DigiCert (como “DigiCert Global Root G2” y “DigiCert Trusted Root G4”) localizados en el almacén de certificados del sistema, y los marca como infectados con el troyano Win32/Cerdigent.A!dha. Esta acción provoca su eliminación o cuarentena automática en función de la configuración de la solución antimalware.

No se ha reportado la existencia de un exploit concreto ni de actividad maliciosa real asociada a DigiCert. El error reside en la heurística del motor de Defender, posiblemente por una mala correlación entre ciertas firmas de los certificados y patrones de malware recogidos por el producto. No obstante, la eliminación de certificados raíz interfiere directamente en la validación de cadenas de confianza X.509, provocando errores en la navegación web, el correo electrónico seguro (S/MIME), la validación de firmas digitales y el funcionamiento de aplicaciones críticas.

En cuanto a TTPs (Tactics, Techniques and Procedures) MITRE ATT&CK, el incidente no corresponde a una amenaza real, pero el vector de impacto se alinea con “Impair Defenses: Disable or Modify Tools (T1562)” en cuanto a la manipulación inadvertida de componentes de seguridad.

No se han identificado IOC (Indicators of Compromise) asociados, dado que se trata de un falso positivo y no de una intrusión real.

### 4. Impacto y Riesgos

El alcance de la afectación es global, dado que DigiCert es una de las CA raíz más extendidas y Microsoft Defender se encuentra desplegado en millones de sistemas Windows empresariales y domésticos. Entre los impactos detectados destacan:

– *Interrupción de servicios seguros*: Fallos en la autenticación SSL/TLS y en la validación de firmas de código.
– *Errores de navegación*: Bloqueo de acceso a sitios seguros y advertencias de seguridad en navegadores.
– *Imposibilidad de instalar o actualizar software*: Instaladores y actualizaciones firmadas por DigiCert son rechazadas.
– *Impacto en cumplimiento normativo*: Riesgo de incumplimiento de GDPR, NIS2 y otras normativas, al comprometerse la integridad y confidencialidad de las comunicaciones.

Aunque no se han cuantificado aún las pérdidas económicas, la disrupción en operaciones críticas puede traducirse en importantes costes indirectos y reputacionales.

### 5. Medidas de Mitigación y Recomendaciones

Microsoft ha reconocido el error y está trabajando en una actualización urgente de las firmas de Defender. Mientras tanto, se recomienda a los responsables de seguridad y administradores de sistemas:

– Revisar los eventos de Defender y restaurar manualmente los certificados raíz afectados desde copias de seguridad o el repositorio oficial de DigiCert.
– Excluir temporalmente las rutas del almacén de certificados del análisis programado por Defender, en entornos controlados y tras una evaluación de riesgos.
– Monitorizar logs de sistema y eventos de seguridad para identificar otras posibles eliminaciones erróneas.
– Reportar a Microsoft cualquier nuevo caso para acelerar la publicación de la corrección.
– Comprobar la integridad de la cadena de certificados tras aplicar cualquier actualización del motor antimalware.

### 6. Opinión de Expertos

Especialistas en ciberseguridad y responsables de CA han calificado el incidente como “grave”, por su capacidad para desestabilizar la confianza digital y el normal funcionamiento de la infraestructura PKI (Public Key Infrastructure). Varios expertos recomiendan a las organizaciones implementar procesos adicionales de validación y restauración automática de certificados raíz ante incidentes similares. Se recuerda que los falsos positivos en productos antimalware pueden tener un impacto igual o mayor que algunas campañas de malware, al afectar componentes críticos del sistema operativo.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, el incidente pone de manifiesto la importancia de no confiar ciegamente en las decisiones automáticas de las herramientas de seguridad y de disponer de planes de contingencia para restaurar la cadena de confianza digital. Los usuarios finales pueden verse afectados por la imposibilidad de acceder a servicios online o por errores en la instalación de software legítimo, lo que incrementa los costes de soporte técnico y puede erosionar la confianza en las plataformas digitales.

### 8. Conclusiones

El falso positivo de Microsoft Defender sobre certificados raíz de DigiCert subraya la necesidad de una coordinación estrecha entre fabricantes de soluciones antimalware y Autoridades Certificadoras. La automatización en la respuesta a amenazas debe ir acompañada de mecanismos robustos de validación para evitar impactos colaterales en la infraestructura de confianza. Se recomienda a los equipos de ciberseguridad monitorizar proactivamente el estado de los certificados raíz y estar atentos a futuras actualizaciones de Microsoft Defender que resuelvan este incidente.

(Fuente: www.bleepingcomputer.com)