ช่วงที่ผ่านมา ผู้ใช้งาน Windows 11 และ Windows Server จำนวนมากทั่วโลกพบการแจ้งเตือนจาก Microsoft Defender เกี่ยวกับภัยคุกคามชื่อ “Cerdigent” ส่งผลให้เกิดความกังวลในวงกว้าง ทั้งในกลุ่มผู้ใช้งานทั่วไปและนักวิจัยด้านความปลอดภัยไซเบอร์
อย่างไรก็ตาม ข้อมูลล่าสุดระบุว่า การแจ้งเตือนดังกล่าวอาจไม่ได้หมายถึงการแพร่ระบาดของมัลแวร์จริง แต่มีแนวโน้มเป็น “False Positive” หรือการตรวจจับผิดพลาด ซึ่งมีสาเหตุมาจากปัญหาเกี่ยวกับใบรับรองดิจิทัล
รายงานจากระบบ Bugzilla ของ Mozilla ชี้ว่าเหตุการณ์นี้เชื่อมโยงกับ DigiCert ผู้ให้บริการออกใบรับรอง (Certificate Authority: CA) โดยพบว่าผู้ไม่หวังดีสามารถเข้าถึงระบบภายในบางส่วนได้ หลังจากเจาะเครื่องของเจ้าหน้าที่ฝ่ายสนับสนุน ส่งผลให้สามารถเข้าถึงโค้ดสำหรับเริ่มต้นใช้งาน (initialisation codes) ของใบรับรองแบบ code signing ได้ในจำนวนจำกัด
โค้ดดังกล่าว เมื่อใช้ร่วมกับคำสั่งที่ได้รับการอนุมัติ สามารถนำไปสร้างใบรับรองสำหรับลงลายเซ็นซอฟต์แวร์ที่ดูถูกต้องตามกฎหมายได้ ทำให้ซอฟต์แวร์ที่ถูกเซ็นนั้นดูน่าเชื่อถือสำหรับระบบปฏิบัติการ Windows และโปรแกรมป้องกันไวรัส รวมถึง Microsoft Defender
จากการตรวจสอบ DigiCert พบว่าใบรับรองบางส่วนถูกนำไปใช้กับมัลแวร์ประเภท Zhong Stealer และได้ดำเนินการเพิกถอนใบรับรองทั้งหมด 60 รายการ โดยแบ่งเป็น 27 รายการที่เชื่อมโยงกับผู้โจมตีโดยตรง และอีก 33 รายการที่ถูกเพิกถอนเพื่อป้องกันความเสี่ยงเพิ่มเติม
สำหรับ “Cerdigent” แม้จะถูกตรวจพบโดย Microsoft Defender แต่ข้อมูลในฐานข้อมูลภัยคุกคามของ Microsoft ยังมีจำกัด โดยระบุเพียงว่าสามารถดำเนินการที่เป็นอันตรายบนอุปกรณ์ได้ตามคำสั่งของผู้โจมตี อย่างไรก็ตาม ยังไม่มีหลักฐานชัดเจนว่าเป็นการโจมตีในวงกว้าง ทำให้หลายฝ่ายเชื่อว่าการแจ้งเตือนจำนวนมากในครั้งนี้อาจเกิดจากระบบตรวจจับที่สับสนกับใบรับรองที่ถูกใช้งานในทางที่ผิด
ประเด็นสำคัญของเหตุการณ์นี้อยู่ที่บทบาทของใบรับรอง code signing ซึ่งเป็นกลไกหลักในการสร้างความน่าเชื่อถือให้กับซอฟต์แวร์ในระบบปฏิบัติการสมัยใหม่ เมื่อใบรับรองถูกนำไปใช้ผิดวัตถุประสงค์ จะทำให้ซอฟต์แวร์อันตรายสามารถแฝงตัวในรูปแบบที่ดูถูกต้องได้ และทำให้ระบบป้องกันตรวจจับได้ยากขึ้น
ในกรณีที่พบการแจ้งเตือน “Cerdigent” ผู้ใช้งานควรอัปเดตระบบ Windows และ Microsoft Defender ให้เป็นเวอร์ชันล่าสุด และติดตามประกาศจากผู้ให้บริการด้านความปลอดภัยอย่างใกล้ชิด เนื่องจากในกรณีที่เกิดการตรวจจับผิดพลาดในวงกว้าง มักจะมีการอัปเดต signature เพื่อแก้ไขปัญหาอย่างรวดเร็ว
โดยสรุป เหตุการณ์นี้มีแนวโน้มเป็น False Positive มากกว่าการแพร่ระบาดของมัลแวร์จริง แต่ก็สะท้อนถึงความเสี่ยงของระบบความเชื่อถือดิจิทัล และความสำคัญของการจัดการความปลอดภัยในระดับโครงสร้างพื้นฐานอย่างรัดกุมมากยิ่งขึ้น
ที่มา neowin
