Un aggiornamento recente di Microsoft Defender ha provocato una serie di falsi positivi piuttosto imbarazzanti sui sistemi Windows, prendendo di mira nientemeno che i certificati root di DigiCert, una delle autorità di certificazione più utilizzate al mondo. Il problema non è banale, perché va a toccare uno degli ingranaggi più delicati dell’intera infrastruttura di sicurezza digitale: la catena di fiducia su cui si reggono i certificati TLS.
Per dare un’idea della portata, basta pensare che oltre il 70% dei siti HTTPS si affida a certificati rilasciati da poche grandi autorità di certificazione, e DigiCert è tra queste. Quando qualcosa va storto in questo segmento, gli effetti si propagano rapidamente su ambienti di produzione, pipeline automatizzate e sistemi di monitoraggio aziendale. E stavolta qualcosa è andato storto eccome.
Il nocciolo della questione sta in un errore nelle definizioni di sicurezza di Defender. Alcuni certificati root DigiCert sono stati classificati come minacce, facendo scattare alert automatici durante le scansioni e i controlli in tempo reale. Va detto chiaramente: i certificati coinvolti sono perfettamente validi e non risultano compromessi in alcun modo. L’errore è tutto interno al motore di rilevamento, nessuna vulnerabilità reale, nessun attacco in corso.
Le analisi tecniche puntano verso una firma troppo generica, associata per sbaglio a componenti del tutto legittimi. Microsoft Defender lavora combinando firme statiche, analisi comportamentali e modelli di machine learning, e basta un singolo errore in uno di questi livelli per generare classificazioni sbagliate. In questo caso specifico, i certificati potrebbero essere stati scambiati per elementi sospetti a causa di pattern condivisi con malware che sfruttano strutture simili per mascherare attività dannose. Questo tipo di collisione, nei sistemi basati su euristiche avanzate, capita più spesso di quanto si pensi.
Le conseguenze concrete negli ambienti aziendali
I certificati root stanno al vertice della gerarchia di fiducia PKI. Qualsiasi errore nella loro classificazione finisce per compromettere temporaneamente la validazione delle connessioni HTTPS, delle firme digitali e dell’autenticazione software. Sistemi perfettamente integri, di colpo, sembrano compromessi. E le conseguenze operative arrivano subito.
Un falso positivo su certificati root non è una semplice scocciatura visiva. In contesti enterprise, può causare blocchi nei processi automatizzati, interruzioni nei servizi che dipendono da connessioni cifrate e segnalazioni errate nei sistemi SIEM. Alcuni strumenti di sicurezza reagiscono in modo autonomo a queste anomalie, arrivando a isolare endpoint o interrompere comunicazioni senza intervento umano.
Il rischio principale, quindi, non riguarda tanto la compromissione dei dati quanto piuttosto l’instabilità operativa: team IT costretti a investigare eventi che non esistono, rallentamenti nelle pipeline di deploy, possibili downtime su servizi critici. Tutto per un errore nelle definizioni di Microsoft Defender.
Come stanno intervenendo e cosa fare nel frattempo
Microsoft ha già avviato la distribuzione di aggiornamenti correttivi per le definizioni di Defender. Nel frattempo, chi gestisce infrastrutture può adottare alcune precauzioni sensate: verificare manualmente la validità dei certificati attraverso strumenti indipendenti, evitare la rimozione automatica delle root coinvolte e tenere d’occhio gli aggiornamenti delle definizioni con una certa costanza.
Per gli ambienti più critici, è possibile implementare whitelist temporanee sui certificati interessati, facendo però attenzione a non trasformare queste eccezioni provvisorie in regole permanenti che nessuno si ricorderà di rimuovere.
Rimani aggiornato seguendoci su Google News!
