فوجئ العديد من مديري الأنظمة حول العالم خلال عطلة نهاية الأسبوع بكم هائل من التنبيهات من برنامج Microsoft Defender، حيث حذروا من وجود تروجان يحمل اسم Trojan:Win32/Cerdigent.A!dha على خوادم ومحطات عمل كان يُعتقد أنها آمنة تمامًا، لكن سرعان ما تبين أن المشكلة كانت في برنامج الحماية نفسه
تقرير مفصل من موقع BleepingComputer أوضح أن Defender بدأ فجأة في تصنيف بعض شهادات الجذر الصادرة عن DigiCert، وهي واحدة من أبرز سلطات الشهادات الرقمية، على أنها برمجيات خبيثة، وفي بعض الحالات قام بإزالتها من مخزن الشهادات الموثوقة في ويندوز، مما أثار قلقًا واسعًا لدى فرق الأمن وجعل الكثيرين يعتقدون بوجود اختراق فعلي في أنظمتهم.
كيف بدأ الخطأ وما الذي استهدفه بالضبط
بحسب خبير الأمن السيبراني فلوريان روث، ظهر الخلل لأول مرة بعد تحديث تواقيع Microsoft Defender في 30 أبريل، وهو التحديث الذي أضاف كاشفات جديدة مرتبطة بعائلة التهديد Cerdigent بعد اكتشاف حملة برمجيات خبيثة استخدمت شهادات صالحة من DigiCert تم الحصول عليها بشكل غير قانوني.
بعد هذا التحديث، بدأت نسخة Defender على أنظمة ويندوز في الإبلاغ عن شهادات جذر شرعية من DigiCert على أنها مصابة بتروجان Cerdigent، وتحديدًا شهادتين جذر ذوات البصمات 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 وDDFB16CD4931C973A2037D3FC83A4D7D775D05E4، وهما شهادتان مستخدمتان بشكل واسع في سلاسل الثقة الخاصة ببروتوكول HTTPS وتوقيع الشيفرات.
في بعض الحالات، لم يكتفِ Defender بإصدار إنذار فقط، بل قام فعليًا بعزل هذه الشهادات أو إزالتها من مخزن الثقة في السجل، مما يعني أن أي اتصال أو برنامج يعتمد على تلك السلسلة قد يواجه مشاكل في التحقق من الهوية، رغم أن التقارير تشير إلى أن التأثير العملي على المستخدمين النهائيين كان محدودًا قبل صدور التصحيح.
علاقة الإنذار الخاطئ بحادثة اختراق DigiCert الأخيرة
يأتي هذا الخلل في وقت حساس، إذ حدث بعد فترة قصيرة من إعلان DigiCert عن واقعة أمنية تمكن فيها مهاجمون من استهداف أحد أعضاء فريق الدعم لديهم، والحصول على رموز تهيئة لعدد محدود من شهادات توقيع الشيفرات، واستغل بعض هذه الرموز في توقيع برمجيات خبيثة في حملات فعلية.
وفقًا لتقرير DigiCert، تم احتواء نقطة الدخول بسرعة، لكن التحقيق اللاحق أظهر أن المهاجمين استطاعوا استخدام تلك الرموز لطلب شهادات توقيع تم توجيه بعضها إلى مهاجمين قاموا بتوقيع أحصنة طروادة وحمولات خبيثة أخرى، لتبدو كبرمجيات موثوقة في نظر أنظمة التشغيل وبرامج الحماية.
ردًا على ذلك، تحركت مايكروسوفت بسرعة لإضافة كاشفات جديدة في Defender تستهدف هذه السلالة من البرمجيات الخبيثة الموقعة بشهادات DigiCert المتسربة، بهدف حماية المستخدمين من هجمات محتملة تستغل الثقة العالية في شهادات الشركة.
لكن المشكلة أن منطق الاكتشاف كان متساهلًا أكثر من اللازم، فامتد ليشمل شهادات جذر قانونية موجودة في أنظمة ويندوز منذ سنوات، مما أدى إلى هذه الموجة من الإنذارات الخاطئة التي شملت بيئات مؤسسية عديدة في وقت واحد.
رد مايكروسوفت
في بيان أرسلته إلى BleepingComputer، أقرت مايكروسوفت بأن Microsoft Defender أطلق بالفعل إنذارات خاطئة ربطت شهادات DigiCert الشرعية بعائلة التهديد Cerdigent، وأكدت أن فريقها حدد الخطأ في منطق التنبيه وقام بتحديث القواعد المسؤولة عن الاكتشاف في نفس اليوم.
أوضحت الشركة أن Defender قام تلقائيًا بقمع هذه الإنذارات الزائفة وتنظيف آثارها في بيئات العملاء بعد التحديث، وأن المستخدمين لا يحتاجون إلى اتخاذ خطوات إصلاح إضافية إذا كانوا قد حصلوا على أحدث إصدار من تواقيع الحماية.
ومع ذلك، توصي مايكروسوفت المسؤولين عن الأنظمة بمراجعة لوحة الحالة الصحية للخدمات في مركز إدارة Microsoft 365 للحصول على تفاصيل إضافية حول أي نشاط مرتبط بهذه الإنذارات في بيئاتهم، خاصة في المؤسسات التي تعتمد بشدة على شهادات DigiCert.
ماذا يعني هذا لمديري الأنظمة ولموثوقية شهادات DigiCert
على الرغم من الطابع المقلق لحادثتين متتاليتين، إلا أن BleepingComputer يشدد على نقطتين أساسيتين، الأولى أن الشهادات الجذر التي استهدفها الإنذار الخاطئ لم تكن جزءًا من الحادثة الأمنية المعلنة لدى DigiCert، بل دخلت على الخط بسبب خطأ في منطق الكشف في Defender، والثانية أن DigiCert نفسها بقيت حتى اللحظة طرفًا موثوقًا في سلاسل الثقة العالمية.
بالنسبة لمديري الأنظمة، تعيد هذه الواقعة فتح نقاش قديم حول الاعتماد الكثيف على التواقيع السحابية والتحديثات التلقائية في أدوات الحماية، فهي تذكّر بأن خطأ واحدًا في قاعدة اكتشاف يمكن أن يترجم في لحظة إلى آلاف الإنذارات، مما قد يؤدي إلى تعطيل جزئي للبنية التحتية للثقة إذا جرى التعامل بعجلة مع التنبيهات دون تحقق إضافي.
في الوقت نفسه، تؤكد سرعة استجابة مايكروسوفت في إصدار تحديث تصحيحي، وسرعة توثيق الحادثة، أن هذه السلسلة من ردود الفعل السريعة أصبحت جزءًا أساسيًا من الطريقة التي يُدار بها الأمن السيبراني الحديث، حيث تصبح القدرة على تصحيح الأخطاء بسرعة لا تقل أهمية عن القدرة على كشف التهديدات.
بالنسبة للمستخدمين العاديين، يكفي التأكد من تحديث Microsoft Defender إلى آخر إصدار من تعريفات الحماية، وعدم الذعر إذا صادفوا اسم Trojan:Win32/Cerdigent.A!dha في سجل التهديدات، أما بالنسبة للمؤسسات، فالدروس الأهم تبقى في جانب بناء طبقات إضافية من التحقق قبل اتخاذ قرارات جذرية مثل حذف شهادات أو تعطيل خدمات، خصوصًا عندما تكون الإنذارات مرتبطة بمكونات حساسة في قلب منظومة الثقة الرقمية