Microsoft Defender kennzeichnet DigiCert-Zertifikate als Malware

Microsoft Defender stufte vergangene Woche fälschlicherweise zwei der weltweit am weitesten verbreiteten Stammzertifikate als Schadsoftware ein und verursachte damit erhebliche Störungen in Windows-Unternehmensumgebungen. Auslöser war ein Signatur-Update vom 30. April, das die Erkennung Trojan:Win32/Cerdigent.A!dha einführte. Anstatt tatsächliche Malware zu erkennen, ordnete Microsoft Defender fälschlicherweise die kryptografischen Hashes zweier DigiCert-Stammzertifikate zu, die auf nahezu jedem heutigen Windows-Rechner vorhanden sind.

Betroffen waren die Zertifikate DigiCert Assured ID Root CA (Fingerabdruck 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43) und DigiCert Trusted Root G4 (Fingerabdruck DDFB16CD4931C973A2037D3FC83A4D7D775D05E4). Beide sind seit Jahren Bestandteil des Windows-Vertrauensspeichers und spielen eine zentrale Rolle bei der Validierung von SSL/TLS-Verbindungen, der Code-Signierung sowie bei API-Aufrufen in zahlreichen Unternehmens- und Endnutzerumgebungen. Durch die Quarantäne dieser Zertifikate wurden entsprechende Vertrauensketten unterbrochen. In der Folge mussten viele Administratoren zunächst aufwendig die Ursachen für ausgefallene Dienste analysieren. In einigen Fällen führte die angezeigte Trojaner-Warnung sogar dazu, dass Systeme vorsorglich vollständig neu aufgesetzt wurden.

Was dazu geführt hat

The false positive is tied to a real incident at DigiCert. In early April, attackers used a malicious ZIP file disguised as a customer screenshot to compromise two support team endpoints at the company, exploiting a misconfigured EDR deployment on one machine that failed to catch the initial delivery. The attackers accessed DigiCert's internal support portal and obtained initialization codes for a limited number of EV code-signing certificates. DigiCert identified and revoked 60 certificates, including those tied to the Zhong Stealer malware campaign, within 24 hours.

Microsoft moved quickly to push Defender detections to protect customers from malware signed with the compromised certificates. The detection logic it deployed was too broad. It caught the legitimate DigiCert root CAs alongside the revoked code-signing certificates, triggering quarantine actions on Windows systems that had done nothing wrong. "Earlier today we determined false positive alerts were mistakenly triggered and updated the alert logic," Microsoft told BleepingComputer. The fix shipped in Security Intelligence update 1.449.430.0. Systems that applied the update automatically had their certificates restored. Admins in environments with restricted update policies had to verify restoration manually using certutil -store AuthRoot | findstr -i "digicert".

What to do if you are still affected

Einige Nutzer berichteten, dass die Trojanerwarnung Trojan:Win32/Cerdigent.A!dha auch mit der Definitionsversion 1.449.446.0 weiterhin angezeigt wird. Dies deutet darauf hin, dass die Korrektur nicht vollständig über alle Kanäle der Definitionsbereitstellung ausgerollt wurde. Microsoft empfiehlt, Defender über Einstellungen > Windows-Sicherheit > Viren- und Bedrohungsschutz > Schutzupdates auf die neueste verfügbare Version der Sicherheitsinformationen zu aktualisieren. Ein Neustart des Systems sowie die Ausführung von Windows Update sollten zudem die Wiederherstellung der unter Quarantäne gestellten Zertifikate abschließen. DigiCert bestätigte in seinem Blog, dass von Defender fälschlicherweise entfernte Zertifikate nach der Installation des Updates automatisch wiederhergestellt werden und dass keine weitergehende Gefährdung von Kundenzertifikaten, -konten oder -systemen vorlag.

Dies ist bereits eine weitere größere Störung im Zusammenhang mit Microsoft-Updates im April und Mai. Zuvor kam es unter anderem zu Boot-Schleifen durch KB5083769 auf HP- und Dell-Systemen, zur erzwungenen Aktualisierung auf Windows 11 25H2 sowie zu Beeinträchtigungen von Backup-Tools von Drittanbietern wie Acronis und Macrium durch dasselbe Update. Notebookcheck hatte bereits über die Probleme rund um KB5083769 berichtet.