A DigiCert, uma das principais autoridades certificadoras do mundo, confirmou um incidente de segurança envolvendo engenharia social que resultou na emissão não autorizada de certificados digitais.
O ataque começou por meio de um canal legítimo de suporte ao cliente. Um agente malicioso enviou um arquivo ZIP que se passava por uma captura de tela. Dentro dele havia um arquivo com extensão SCR, formato utilizado no Windows para protetores de tela, mas que também pode executar código malicioso.
Exploração de ferramenta interna de suporte
De acordo com o relatório oficial, o invasor explorou uma funcionalidade do portal de suporte que permite aos analistas visualizar contas do ponto de vista do cliente.
Embora essa ferramenta não permita ações administrativas diretas, o atacante conseguiu acessar códigos de inicialização associados a pedidos de certificados já aprovados, mas ainda não entregues.
Esses códigos, quando combinados com pedidos válidos, são suficientes para recuperar certificados digitais.
Comprometimento de sistemas internos
O ataque resultou na invasão de dois sistemas internos de suporte. O primeiro foi identificado e contido em menos de 24 horas. O segundo permaneceu comprometido por quase duas semanas.
A falha na detecção foi atribuída a problemas de configuração no agente de segurança da CrowdStrike. Em um dos sistemas, as configurações estavam abaixo do padrão. No outro, o sensor não estava ativo ou funcional, impedindo qualquer alerta.
Emissão e uso indevido de certificados
Com acesso aos códigos e pedidos aprovados, o invasor conseguiu emitir certificados EV Code Signing legítimos. Esses certificados são utilizados para assinar softwares e garantir sua autenticidade.
Segundo a empresa, 60 certificados foram revogados, sendo 27 diretamente ligados à atividade maliciosa. Parte deles foi identificada após relatos da comunidade de segurança, enquanto outros foram descobertos internamente.
Os certificados comprometidos foram usados para assinar o malware Zhong Stealer, associado a roubo de criptomoedas e atividades de cibercrime.
Falha adicional envolvendo o Microsoft Defender
Paralelamente ao incidente, o Microsoft Defender apresentou um erro ao classificar certificados legítimos da DigiCert como malware.
A detecção incorreta gerou alertas falsos e, em alguns casos, levou à remoção de certificados de sistemas Windows. O problema foi corrigido em atualizações posteriores da ferramenta.
O caso também contou com a colaboração de pesquisadores da comunidade, incluindo Florian Roth, que ajudaram a identificar o uso indevido dos certificados e contribuíram para a investigação do incidente.
