Microsoft Defender принял легитимные сертификаты DigiCert за троян

Екатерина Быстрова 04 Мая 2026 - 10:24

Домашние пользователи

Корпорации

Microsoft

Microsoft Windows Defender

Ошибки конфигурации программ

Сбои программ

...

Microsoft Defender принял легитимные сертификаты DigiCert за троян

Microsoft Defender устроил администраторам неприятный сюрприз: антивирус начал определять легитимные корневые сертификаты DigiCert как Trojan:Win32/Cerdigent.A!dha. В некоторых случаях Защитник не просто показывал предупреждение, а удалял эти сертификаты из хранилища доверенных корневых сертификатов Windows.

По словам исследователя Флориана Рота, проблема появилась после обновления сигнатур Defender от 30 апреля.

Позже администраторы по всему миру начали сообщать, что записи DigiCert внезапно помечаются как вредоносные.

Под срабатывание попали два сертификата:

0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
DDFB16CD4931C973A2037D3FC83A4D7D775D05E4

На затронутых системах они удалялись из ветки реестра:

HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\

Ситуация быстро вызвала панику: некоторые пользователи решили, что их устройства действительно заражены, и даже переустанавливали Windows на всякий случай.

Microsoft уже подтвердила, что речь идёт о ложном срабатывании. По словам компании, детект был связан с недавним инцидентом у DigiCert, когда злоумышленники смогли получить действительные сертификаты и использовать их для подписи вредоносных программ. Defender оперативно добавил новые правила обнаружения, но логика сработала слишком широко и зацепила легитимные корневые сертификаты.

Ошибка исправлена в обновлении Security Intelligence 1.449.430.0 и более новых версиях. По сообщениям пользователей, свежие обновления также восстанавливают ранее удалённые сертификаты.

Проверить наличие обновлений можно вручную. В Microsoft подчёркивают, что после установки актуальных сигнатур дополнительных действий от пользователей не требуется.

Инцидент связан с недавней атакой на DigiCert. По данным самой компании, злоумышленники атаковали сотрудника поддержки с помощью вредоносного ZIP-файла, замаскированного под скриншот.

В результате DigiCert отозвала 60 сертификатов, часть из которых была связана с кампанией Zhong Stealer. Исследователи ранее сообщали, что такие сертификаты использовались для подписи вредоносных загрузчиков и компонентов, выдавая их за ПО известных компаний.

Следующая главная новость »

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Мая 2026 - 15:53

macOS iOS Уязвимости программ Домашние пользователи Корпорации

Чаты WhatsApp на iPhone и Mac могут храниться без локального шифрования

Исследователи снова заглянули под капот WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) и там, мягко говоря, не всё в порядке. Специалисты Mysk заявили, что на macOS и iOS мессенджер может хранить базы чатов в незашифрованном виде внутри общего контейнера приложений Meta.

Речь идёт о механизме app group containers на платформах Apple. Он нужен, чтобы приложения одного разработчика могли обмениваться данными.

В случае Meta это общий контейнер group.com.facebook.family, которым, по данным исследователей, могут пользоваться WhatsApp, Facebook и Instagram (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России).

Главная претензия простая: если история переписок лежит локально без шифрования, то сквозное шифрование уже не выглядит таким бронебойным. Да, оно защищает сообщения при передаче, но не гарантирует, что локальная база на устройстве будет такой же неприступной.

По словам Mysk, другие приложения Meta на том же устройстве теоретически могут получить доступ к данным WhatsApp без отдельного согласия пользователя. При этом никаких понятных уведомлений для пользователя о таком доступе не предусмотрено.

Исследователи также показали, что данные чатов можно извлечь из резервных копий iPhone, где видна та же незашифрованная структура. То есть проблема касается не только самого приложения, но и того, как эти данные живут в бэкапах.

Отдельно ситуацию портит уязвимость macOS CVE-2026-28910 в Archive Utility. Она позволяла обходить защиту App Sandbox и получать почти неограниченный доступ к файловой системе. В связке с особенностями хранения WhatsApp это могло дать атакующим доступ к чатам, а также данным других приложений вроде Сообщения и Safari.

Правда, не все считают ситуацию катастрофой. WABetaInfo отмечает, что локальные базы WhatsApp всё же находятся внутри песочницы Apple, а значит, просто так залезть туда стороннее приложение не должно. Для доступа нужны системные привилегии или эксплуатация уязвимостей ОС.

Но Mysk отвечает: общий контейнер приложений Meta сам по себе ослабляет изоляцию. Пользователь может думать, что WhatsApp, Facebook и Instagram живут каждый в своей комнате, а на деле у них может быть общий коридор с дверями без нормальных табличек.

Пользователям советуют включать шифрование резервных копий iPhone через iTunes или Finder, обновлять iOS и macOS, использовать надёжный пароль устройства и не плодить лишние приложения из одной экосистемы, если приватность действительно важна.

Активной массовой эксплуатации пока не зафиксировано.

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!