Giriş
Microsoft Defender, geçerli DigiCert kök sertifikalarını Trojan:Win32/Cerdigent.A!dha olarak tespit ederek, kullanıcılar arasında büyük bir karmaşaya yol açan yanlış pozitif uyarılara neden oldu. Bu durum, bazı sistemlerde sertifikaların Windows’tan kaldırılmasına yol açarak, kullanıcılar arasında güvenlik endişeleri yarattı.
Saldırı Nasıl Çalışıyor?
Sorun, Microsoft’un Defender’ı için *30 Nisan* tarihinde yapılan bir güncelleme ile başladı. Uzman Florian Roth’un raporuna göre, dünya genelinde yöneticiler, DigiCert kök sertifika kayıtlarının kötü amaçlı yazılım olarak işaretlendiğini ve bu sebeple güvenli işletim sistemi deposundan kaldırıldığını bildirmeye başladılar. Tespit edilen sertifikalar şunlardır:
- 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
- DDFB16CD4931C973A2037D3FC83A4D7D775D05E4
Düşük performans gösteren sistemlerde bu sertifikalar, aşağıdaki kayıt anahtarı altında AuthRoot deposundan kaldırıldı:
HKLMSOFTWAREMicrosoftSystemCertificatesAuthRootCertificatesEtkilenen Sistemler
Yanlış pozitif bildirimleri, Windows kullanıcıları arasında bazı cihazlarının virüslü olduğu endişesini artırdı ve bazı kullanıcılar sistemlerini yeniden yüklemeye kadar gitti. Microsoft’un, bu yanlış tespitleri düzeltmek için *güvenlik zeka güncellemesi versiyonu 1.449.430.0* üzerinde çalıştığı ve mevcut güncellemenin ise *1.449.431.0* olduğu bildirildi. Etkilenen sistemlerde, düzeltmelerle birlikte daha önce kaldırılan sertifikaların geri yüklendiği rapor edilmiştir.
Çözüm ve Korunma
Microsoft, kullanıcılarının otomatik olarak güncellemeleri alacağını bildirmiştir. Ancak, Windows kullanıcıları güncellemeyi manuel olarak da zorlayabilirler. Bunu yapmak için:
- Windows Güvenliği bölümüne gidin.
- Virüs ve tehdit koruması seçeneğine tıklayın.
- Koruma güncellemeleri kısmına gidin ve Güncellemeleri kontrol et seçeneğini tıklayın.
DigiCert İle İlişkili Güvenlik Olayı
Yanlış pozitiflerin, yakın dönemde yaşanan bir *DigiCert güvenlik ihlali* ile bağlantılı olduğu düşünülüyor. İhlal, tehdit aktörlerinin kötü amaçlı yazılımı imzalamak için geçerli kod imzalama sertifikaları edinmesine olanak sağlamıştır. DigiCert’in raporuna göre:
- Saldırı, bir müşteri destek çalışanını hedef aldı.
- Tehdit vektörü tespit edildikten sonra kontrol altına alındı.
- İhlal sırasında, belirli kod imzalama sertifikalarının başlangıç kodları elde edildi.
DigiCert, ihlal sonrası 60 kod imzalama sertifikasını iptal etti. Ancak, bu sertifikaların daha önceki kötü amaçlı kampanyalarda kullanıldığı tespit edilmiştir. Microsoft’un Defender tespitlerinin, DigiCert olayı ile ilgili olup olmadığı kesin olarak doğrulanmamıştır, ancak zamanlaması ve DigiCert’e bağlı sertifikalara yönelik odaklanması, olası bir ilişki olduğunu düşündürmektedir.
Sonuç
Eğer bir Windows kullanıcısıysanız, sistemi güncel tutmak adına yukarıdaki adımları takip etmeniz hayati önem taşımaktadır. Gerekirse port kapatma seçeneklerini değerlendirin ve güvenlik yazılımlarınızı sürekli güncel tutun.
