ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยเกี่ยวกับกรณี Microsoft Defender ตรวจจับใบรับรอง Root Certificate ของ DigiCert ผิดพลาดเป็นมัลแวร์ ซึ่งอาจส่งผลกระทบต่อความน่าเชื่อถือของระบบและการทำงานของ Windows อย่างไรก็ตาม Microsoft ได้ออกอัปเดตแก้ไขข้อผิดพลาดดังกล่าวแล้ว ผู้ใช้งานควรเร่งดำเนินการปรับปรุงระบบให้เป็นปัจจุบันและตรวจสอบความถูกต้องของการตั้งค่าที่เกี่ยวข้องโดยเร็ว
1. รายละเอียด [1]
Microsoft Defender ตรวจจับ DigiCert Root Certificates ที่ถูกต้อง เป็นมัลแวร์ชื่อ Trojan:Win32/Cerdigent.A!dha ซึ่งเป็นการตรวจจับที่ผิดพลาด (False Positive) ปัญหานี้เริ่มขึ้นหลังจากการอัปเดต signature ของ Defender เมื่อวันที่ 30 เมษายน 2569 [2] ส่งผลให้ในบางระบบมีการลบ certificate ออกจาก Windows Trust Store ทั้งนี้ เหตุการณ์ดังกล่าวเกิดขึ้นในช่วงเวลาใกล้เคียงกับกรณีด้านความปลอดภัยของ DigiCert [3] ซึ่งมีรายงานว่าผู้โจมตีสามารถเข้าถึง Code Signing Certificate และนำไปใช้ลงลายเซ็นมัลแวร์ อย่างไรก็ตาม ยังไม่มีการยืนยันอย่างเป็นทางการว่าทั้งสองเหตุการณ์มีความเกี่ยวข้องกันโดยตรง
2. ผลกระทบที่เกิดขึ้น
จากเหตุการณ์ดังกล่าว ส่งผลกระทบต่อผู้ใช้งาน ดังนี้
2.1 เกิดการแจ้งเตือนมัลแวร์ผิดพลาด (False Positive) ในวงกว้าง
2.2 ใบรับรองบางรายการถูก ลบออกจาก Windows Trust Store โดยอัตโนมัติ
2.3 กระทบต่อความเชื่อถือของระบบที่พึ่งพา certificate (เช่น การตรวจสอบซอฟต์แวร์/การเชื่อมต่อ HTTPS)
2.4 ผู้ดูแลระบบและผู้ใช้งานบางส่วนเข้าใจผิดว่าเครื่องติดมัลแวร์
2.5 มีกรณีผู้ใช้ดำเนินการแก้ไขเกินความจำเป็น เช่น ติดตั้งระบบปฏิบัติการใหม่ (reinstall OS)
3. ผลิตภัณฑ์ที่ได้รับผลกระทบ
3.1 Microsoft Defender (signature ก่อนเวอร์ชัน 1.449.430.0)
3.2 ระบบปฏิบัติการ Microsoft ที่ใช้ Windows Defender
3.3 ระบบที่พึ่งพา Windows Trust Store ในการตรวจสอบ certificate
4. แนวทางการแก้ไข
อัปเดต Microsoft Defender ให้เป็น Security Intelligence เวอร์ชัน 1.449.430.0 หรือใหม่กว่า โดยผู้ใช้งานสามารถอัปเดตได้โดยเข้าไปที่ Windows Security → Virus & threat protection → Protection updates → Check for updates [4] จากนั้นตรวจสอบว่า certificate ที่ถูกลบจาก Windows Trust Store ได้รับการกู้คืนแล้ว หาก certificate ไม่ถูก restore อัตโนมัติ ให้ดำเนินการ sync trust store [5] หรือกู้คืนจาก backup
หมายเหตุ:
หลังจากอัปเดตแล้ว ระบบจะหยุดการตรวจจับผิด และอาจกู้คืน certificate โดยอัตโนมัติ
5. คำแนะนำด้านความปลอดภัยเพิ่มเติม
5.1 หลีกเลี่ยงการดำเนินการที่ไม่จำเป็น เช่น reinstall ระบบ โดยยังไม่ตรวจสอบสาเหตุ
5.2 ตรวจสอบเหตุการณ์ False Positive จากหลายแหล่งก่อนดำเนินการแก้ไข
5.3 ทดสอบการอัปเดต security ใน environment ทดสอบก่อนใช้งานจริง
5.4 ตรวจสอบและสำรองข้อมูล certificate และ trust store อย่างสม่ำเสมอ
5.5 ติดตามข่าวสารด้านความมั่นคงปลอดภัยจากแหล่งที่เชื่อถือได้อย่างต่อเนื่อง
แหล่งอ้างอิง