ADSENSE
|
Microsoft Defender e il Falso Positivo sui Certificati DigiCert
Un recente aggiornamento di Microsoft Defender ha scatenato un’ondata di falsi positivi, identificando erroneamente certificati radice di DigiCert come minacce su numerosi sistemi Windows.
Questa problematica ha generato notevole preoccupazione nel settore tecnologico, poiché coinvolge un elemento cruciale dell’infrastruttura di sicurezza digitale: la catena di fiducia dei certificati TLS.
Con oltre il 70% dei siti HTTPS che si affidano a poche autorità di certificazione primarie, tra cui DigiCert, un’anomalia di questo tipo può avere ripercussioni significative su ambienti di produzione, processi automatizzati e sistemi di monitoraggio aziendali.
Le Cause del Malfunzionamento di Microsoft Defender
L’origine del problema risiede in un errore nelle definizioni di sicurezza di Defender.
Alcuni certificati root DigiCert sono stati classificati come potenziali minacce, attivando allarmi automatici durante le scansioni e le verifiche in tempo reale. È fondamentale sottolineare che i certificati coinvolti sono validi e non compromessi; l’errore è imputabile esclusivamente al motore di rilevamento di Microsoft Defender, escludendo vulnerabilità reali o attacchi informatici in corso.
Le analisi tecniche suggeriscono che il problema derivi da una firma troppo generica, probabilmente associata per errore a componenti legittimi.
Microsoft Defender impiega una combinazione di firme statiche, analisi comportamentali e modelli di machine learning.
Un singolo errore in uno di questi livelli può portare a classificazioni imprecise.
In questo specifico caso, i certificati potrebbero essere stati erroneamente identificati come sospetti a causa di schemi condivisi con malware che sfruttano strutture simili per celare attività dannose.
Questa tipologia di collisione non è insolita nei sistemi che utilizzano euristiche avanzate.
I certificati root costituiscono il vertice della gerarchia di fiducia PKI.
Qualsiasi errore nella loro classificazione può temporaneamente compromettere la validazione di connessioni HTTPS, firme digitali e autenticazione software.
Sistemi perfettamente integri possono apparire compromessi, con immediate conseguenze operative per le aziende.
Impatto Operativo sui Sistemi Aziendali e Soluzioni
Un falso positivo sui certificati root non è un problema da sottovalutare, specialmente in contesti aziendali.
Può causare blocchi nei processi automatizzati, interruzioni nei servizi che dipendono da connessioni cifrate e segnalazioni errate nei sistemi SIEM.
Alcuni strumenti di sicurezza reagiscono automaticamente a queste anomalie isolando gli endpoint o interrompendo le comunicazioni.
Il rischio principale non è la compromissione dei dati, ma l’instabilità operativa, che costringe i team IT a investigare eventi inesistenti, rallenta le pipeline di deploy e può causare downtime su servizi critici.
Microsoft ha prontamente avviato la distribuzione di aggiornamenti correttivi per le definizioni di Defender.
Nel frattempo, gli amministratori IT possono adottare diverse misure per mitigare il problema: 1.
Verificare manualmente la validità dei certificati utilizzando strumenti indipendenti. 2.
Evitare la rimozione automatica delle root coinvolte. 3.
Monitorare attentamente gli aggiornamenti delle definizioni di Microsoft Defender. 4.
In ambienti critici, implementare whitelist temporanee per i certificati interessati, prestando attenzione a non introdurre eccezioni permanenti non necessarie.
Queste azioni consentono di gestire l’emergenza in attesa di una risoluzione definitiva da parte di Microsoft, garantendo la continuità operativa e la sicurezza dei sistemi.