Microsoft Defender confonde certificati root DigiCert per malware

Un recente aggiornamento di Microsoft Defender ha generato un’ondata di falsi positivi su sistemi Windows, coinvolgendo certificati radice emessi da DigiCert, una delle autorità di certificazione più diffuse al mondo. La situazione ha attirato attenzione immediata perché tocca un elemento fondamentale dell’infrastruttura di sicurezza digitale: la catena di fiducia dei certificati TLS.

Il contesto aiuta a capire la portata del problema. Oltre il 70% dei siti HTTPS utilizza certificati rilasciati da poche CA principali, DigiCert inclusa. Qualsiasi anomalia in questo segmento dell’infrastruttura ha effetti a cascata su ambienti di produzione, pipeline automatizzate e sistemi di monitoraggio aziendale.

Cosa ha causato il problema

Il punto di partenza è un errore nelle definizioni di sicurezza di Defender. Alcuni certificati root DigiCert sono stati contrassegnati come minacce, attivando alert automatici durante scansioni e verifiche in tempo reale. I certificati coinvolti risultano validi e non compromessi: l’errore è da attribuire esclusivamente al motore di rilevamento, non a una vulnerabilità reale o a un attacco in corso.

Le analisi tecniche indicano che il problema nasce da una firma troppo generica, probabilmente associata per errore a componenti legittimi. Microsoft Defender combina firme statiche, analisi comportamentali e modelli di machine learning: un singolo errore in uno di questi livelli può portare a classificazioni scorrette

In questo caso specifico, i certificati potrebbero essere stati identificati come sospetti per via di pattern condivisi con malware che utilizzano strutture simili per mascherare attività dannose. Questo tipo di collisione non è raro nei sistemi basati su euristiche avanzate.

I certificati root rappresentano il vertice della gerarchia di fiducia PKI: qualsiasi errore nella loro classificazione compromette temporaneamente la validazione di connessioni HTTPS, firme digitali e autenticazione software. Sistemi perfettamente integri possono apparire compromessi, con conseguenze operative immediate.

Gli impatti concreti sugli ambienti aziendali

Un falso positivo su certificati root non è un problema visivo. In contesti enterprise può causare blocchi nei processi automatizzati, interruzioni nei servizi che dipendono da connessioni cifrate e segnalazioni errate nei sistemi SIEM.

Alcuni strumenti di sicurezza reagiscono automaticamente a queste anomalie isolando endpoint o interrompendo comunicazioni. Il rischio principale non è la compromissione dei dati, ma l’instabilità operativa: team IT costretti a investigare eventi inesistenti, rallentamenti nelle pipeline di deploy, possibili downtime su servizi critici.

Microsoft ha già avviato la distribuzione di aggiornamenti correttivi per le definizioni di Defender. Nel frattempo, gli amministratori possono verificare manualmente la validità dei certificati tramite strumenti indipendenti, evitare la rimozione automatica delle root coinvolte e monitorare gli aggiornamenti delle definizioni. In ambienti critici, è possibile implementare whitelist temporanee per i certificati interessati, con attenzione a non introdurre eccezioni permanenti non necessarie.