Notebookcheck Logo

Microsoft Defender marca los certificados DigiCert como malware

Una actualización de firmas defectuosa de Microsoft Defender provocó que los certificados raíz DigiCert de confianza fueran marcados como malware y eliminados de los sistemas Windows.
ⓘ magnific.com/author/kjpargeter
Una actualización de firmas defectuosa de Microsoft Defender provocó que los certificados raíz DigiCert de confianza fueran marcados como malware y eliminados de los sistemas Windows.
Una actualización de firmas defectuosa de Defender marcó dos certificados raíz DigiCert de confianza como malware y los eliminó de los sistemas Windows de todo el mundo.
Desktop Laptop / Notebook Microsoft Software Windows Security

La semana pasada, Microsoft Defender marcó como malware dos de los certificados raíz más fiables de Internet, lo que provocó una perturbación generalizada en los entornos Windows de las empresas. El falso positivo comenzó el 30 de abril, cuando una actualización de firmas de Defender introdujo una detección etiquetada como Trojan:Win32/Cerdigent.A!dha. En lugar de capturar malware, coincidía incorrectamente con los hashes criptográficos de dos certificados raíz DigiCert presentes en prácticamente todas las máquinas Windows en uso hoy en día.

Los certificados afectados son DigiCert Assured ID Root CA, huella 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43, y DigiCert Trusted Root G4, huella DDFB16CD4931C973A2037D3FC83A4D7D775D05E4. Ambos llevan años en el almacén de confianza de Windows y se utilizan para validar conexiones SSL/TLS, operaciones de firma de código y llamadas a API en millones de sistemas de empresas y consumidores. Cuando Defender los puso en cuarentena, esas cadenas de validación se rompieron. Algunos administradores pasaron horas diagnosticando fallos en el servicio antes de identificar la causa. Otros, al ver aparecer una detección de troyanos en su consola de seguridad, reinstalaron por completo su sistema operativo.

La causa

El falso positivo está relacionado con un incidente real en DigiCert. A principios de abril, los atacantes utilizaron un archivo ZIP malicioso disfrazado de captura de pantalla de un cliente para comprometer dos puntos finales del equipo de soporte de la empresa, aprovechando un despliegue de EDR mal configurado en una máquina que no detectó la entrega inicial. Los atacantes accedieron al portal de soporte interno de DigiCert y obtuvieron códigos de inicialización para un número limitado de certificados EV de firma de código. DigiCert identificó y revocó 60 certificados, incluidos los vinculados a la campaña de malware Zhong Stealer, en un plazo de 24 horas.

Microsoft se apresuró a impulsar las detecciones de Defender para proteger a los clientes del malware firmado con los certificados comprometidos. La lógica de detección que desplegó era demasiado amplia. Captó las CA raíz DigiCert legítimas junto con los certificados de firma de código revocados, desencadenando acciones de cuarentena en sistemas Windows que no habían hecho nada malo. "Hoy mismo hemos determinado que se activaron erróneamente alertas de falsos positivos y hemos actualizado la lógica de las alertas", dijo Microsoft a BleepingComputer. La corrección se envió en la actualización 1.449.430.0 de Security Intelligence. Los sistemas que aplicaron la actualización recuperaron automáticamente sus certificados. Los administradores en entornos con políticas de actualización restringidas tuvieron que verificar la restauración manualmente utilizando certutil -store AuthRoot | findstr -i "digicert".

Qué hacer si sigue afectado

Algunos usuarios informaron de que seguían viendo la Trojan:Win32/Cerdigent.A!dha en la versión de definición 1.449.446.0, lo que sugiere que la corrección no se propagó completamente por todas las rutas de distribución de definiciones. La recomendación de Microsoft es actualizar Defender a la última versión disponible de Security Intelligence a través de Configuración, luego Seguridad de Windows, luego Protección contra virus y amenazas, luego Actualizaciones de protección. Ejecutar Windows Update y reiniciar la máquina debería completar la restauración de los certificados en cuarentena. DigiCert ha confirmado en su blog que los certificados eliminados incorrectamente por Defender deberían restaurarse automáticamente una vez aplicada la actualización y que no se ha producido ningún compromiso más amplio de los certificados, cuentas o sistemas de los clientes.

Se trata de otra importante interrupción relacionada con las actualizaciones de Microsoft en abril y mayo, tras la KB5083769 en máquinas HP y Dell, la actualización forzada a Windows 11 25H2 y la misma actualización que rompió las herramientas de copia de seguridad de terceros de Acronis y Macrium. Notebookcheck ha cubierto el KB5083769 situación.

Please share our article, every link counts!
Mail Logo

Artículos relacionados

Darryl Linington, 2026-05- 7 (Update: 2026-05- 7)