فوجئ عدد كبير من مديري الأنظمة حول العالم خلال عطلة نهاية الأسبوع بسيل من التنبيهات الخطيرة من Microsoft Defender، تحذر من وجود تروجان يحمل الاسم Trojan:Win32/Cerdigent.A!dha على خوادم ومحطات عمل يفترض أنها نظيفة تمامًا، قبل أن يتضح أن برنامج الحماية من مايكروسوفت هو نفسه من وقع في الخطأ هذه المرة.
تقرير مفصل نشره موقع BleepingComputer يشرح أن Defender بدأ فجأة في تصنيف بعض شهادات الجذر root certificates الصادرة عن DigiCert – إحدى أهم سلطات الشهادات الرقمية في العالم – على أنها برمجيات خبيثة، بل وفي بعض الحالات قام بحذفها من مخزن الشهادات الموثوقة في ويندوز، ما أثار ذعرًا واسعًا لدى فرق الأمن ودفع كثيرين للاعتقاد بوجود اختراق نشط في بيئاتهم.
كيف بدأ الخطأ… وما الذي استهدفه بالضبط؟
بحسب خبير الأمن السيبراني فلوريان روث، ظهر الخلل أول مرة بعد تحديث تواقيع Microsoft Defender في 30 أبريل، وهو التحديث الذي أضاف كاشفات جديدة مرتبطة بعائلة التهديد Cerdigent عقب اكتشاف حملة برمجيات خبيثة وقّعت بCertificates صالحة من DigiCert جرى الحصول عليها بطريقة غير مشروعة.
بعد هذا التحديث، بدأت نسخة Defender على أنظمة ويندوز في الإبلاغ عن شهادات جذر شرعية من DigiCert ضمن مخزن AuthRoot على أنها مصابة بتروجان Cerdigent، وتحديدًا شهادتي الجذر ذوات البصمات:
0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 وDDFB16CD4931C973A2037D3FC83A4D7D775D05E4، وهما شهادتان مستخدمتان على نطاق واسع في سلاسل الثقة الخاصة ببروتوكول HTTPS وتوقيع الشيفرات.
في بعض الحالات، لم يكتفِ Defender برفع إنذار فقط، بل قام فعليًا بعزل هذه الشهادات أو إزالتها من مخزن الثقة في السجل registry، ما يعني نظريًا أن أي اتصال أو برنامج يعتمد على تلك السلسلة قد يواجه مشاكل في التحقق من الهوية أو رسائل أخطاء في التوقيع، رغم أن تقارير BleepingComputer تشير إلى أن التأثير العملي على المستخدمين النهائيين كان محدودًا زمنيًا قبل صدور التصحيح.
علاقة الإنذار الخاطئ بحادثة اختراق DigiCert الأخيرة
يأتي هذا الخلل في سياق حساس للغاية، إذ حدث بعد فترة قصيرة من إعلان DigiCert عن واقعة أمنية تمكّن فيها مهاجمون من استهداف أحد أعضاء فريق الدعم لديهم، والحصول من خلاله على رموز تهيئة initialization codes لعدد محدود من شهادات توقيع الشيفرات codesigning certificates، استغل بعضها بالفعل في توقيع برمجيات خبيثة في حملات واقعية.
وفقًا لتقرير DigiCert، تم احتواء نقطة الدخول بسرعة، لكن التحقيق اللاحق أظهر أن المهاجمين استطاعوا استخدام تلك الرموز لطلب شهادات توقيع تم توجيه بعضها إلى مهاجمين قاموا بتوقيع أحصنة طروادة وحمولات خبيثة أخرى، لتبدو كبرمجيات موثوقة في نظر أنظمة التشغيل وبرامج الحماية.
ردًا على ذلك، تحركت مايكروسوفت بسرعة لإضافة كاشفات جديدة في Defender تستهدف هذه السلالة من البرمجيات الخبيثة الموقّعة بشهادات DigiCert المتسربة، بهدف حماية المستخدمين من موجة هجمات محتملة تستغل الثقة العالية في شهادات الشركة.
لكن المشكلة أن منطق الاكتشاف كان متساهلًا أكثر من اللازم، فامتد ليشمل شهادات جذر قانونية موجودة في أنظمة ويندوز منذ سنوات، ما أدى إلى هذه الموجة من الإنذارات الخاطئة التي شملت بيئات مؤسسية عديدة في وقت واحد.
رد مايكروسوفت
في بيان أرسلته إلى BleepingComputer، أقرت مايكروسوفت بأن Microsoft Defender أطلق بالفعل إنذارات خاطئة ربطت شهادات DigiCert الشرعية بعائلة التهديد Cerdigent، وأكدت أن فريقها حدّد الخطأ في منطق التنبيه وقام بتحديث القواعد المسؤولة عن الاكتشاف خلال نفس اليوم.
أوضحت الشركة أن Defender قام تلقائيًا بقمع هذه الإنذارات الزائفة وتنظيف آثارها في بيئات العملاء بعد التحديث، وأن المستخدمين لا يحتاجون إلى اتخاذ خطوات إصلاح إضافية إذا كانوا قد حصلوا على أحدث إصدار من تواقيع الحماية Security Intelligence، وهو الإصدار 1.449.430.0 أو أحدث.
مع ذلك، توصي مايكروسوفت المسؤولين عن الأنظمة بمراجعة لوحة الحالة الصحية للخدمات Service Health Dashboard في مركز إدارة Microsoft 365 للحصول على تفاصيل إضافية حول أي نشاط مرتبط بهذه الإنذارات في بيئاتهم، خاصة في المؤسسات التي تعتمد بشدة على شهادات DigiCert في البنية التحتية للتشفير والهوية الرقمية.
ماذا يعني هذا لمديري الأنظمة ولموثوقية شهادات DigiCert؟
على الرغم من الطابع المقلق لحادثتين متتاليتين – اختراق محدود لأنظمة دعم DigiCert، ثم إنذارات خاطئة من Defender تطال شهادات الشركة نفسها – إلا أن BleepingComputer يشدد على نقطتين أساسيتين وهما الأولى أن الشهادات الجذر التي استهدفها الإنذار الخاطئ لم تكن جزءًا من الحادثة الأمنية المعلنة لدى DigiCert، بل دخلت على الخط بسبب خطأ في منطق الكشف في Defender؛ والثانية أن DigiCert نفسها بقيت حتى اللحظة طرفًا موثوقًا في سلاسل الثقة العالمية، مع معالجات جارية للشهادات التي استُخدمت فعليًا في توقيع برمجيات خبيثة.
بالنسبة لمديري الأنظمة، تعيد هذه الواقعة فتح نقاش قديم حول الاعتماد الكثيف على التواقيع السحابية والتحديثات التلقائية في أدوات الحماية؛ فهي تذكّر بأن خطأ واحدًا في قاعدة اكتشاف يمكن أن يترجم في لحظة إلى آلاف الإنذارات، وربما تعطيل جزئي للبنية التحتية للثقة إذا جرى التعامل بعجلة مع التنبيهات دون تحقق إضافي.
في الوقت نفسه، تؤكد سرعة استجابة مايكروسوفت في إصدار تحديث تصحيحي، وسرعة توثيق الحادثة من قبل BleepingComputer ومنتديات الدعم الرسمية، أن هذه السلسلة من ردود الفعل السريعة أصبحت جزءًا أساسيًا من الطريقة التي يُدار بها الأمن السيبراني الحديث، حيث تصبح القدرة على تصحيح الأخطاء بسرعة لا تقل أهمية عن القدرة على كشف التهديدات في المقام الأول.
في نهاية المطاف، بالنسبة للمستخدمين العاديين، يكفي التأكد من تحديث Microsoft Defender إلى آخر إصدار من تعريفات الحماية، وعدم الذعر إذا صادف أن رأوا اسم Trojan:Win32/Cerdigent.A!dha في سجل التهديدات مرتبطًا بشهادات DigiCert خلال هذه الفترة الزمنية القصيرة، أما بالنسبة للمؤسسات، فالدروس الأهم تبقى في جانب بناء طبقات إضافية من التحقق قبل اتخاذ قرارات جذرية مثل حذف شهادات أو تعطيل خدمات، خصوصًا عندما تكون الإنذارات مرتبطة بمكونات حساسة في قلب منظومة الثقة الرقمية.