In den letzten Tagen sahen viele Windows-Administratoren und Benutzer Warnungen, die legitime DigiCert-Zertifikate zur Erkennung verlinkten Trojan: Win32 / Cerdigent. A! Dha von Microsoft Defender; in einigen Teams wurden diese Zertifikate sogar aus dem Windows Trust Store (AuthRoot) entfernt, wodurch Verwirrung und in Extremfällen unnötige Neuinstallationen des Betriebssystems verursacht wurden.
Die unmittelbare Ursache war ein Update von Defenders Signaturen, die Ende April gesendet wurden, dass diese Erkennung hinzugefügt wurde; Microsoft verteilte dann Korrekturen an die Security Intelligence-Versionen 1.449.430.0 und Nachfolger 1.449.431.0, um die falschen positiven zu entfernen und nach Berichten gelöschte Zertifikate in betroffenen Systemen wiederherzustellen. Die Erkennungsbeschreibung ist in der Microsoft-Enzyklopädie verfügbar: Microsoft Malware Enzyklopädie, und die anfängliche technische Abdeckung nach dem Vorfall ist auf BleepingComputer verfügbar: BlepingComputer.
Dieses Ereignis kommt parallel zu einem Sicherheitsvorfall in DigiCert, wo Angreifer erhalten "Initialization Codes", die einige EV-Code Signaturzertifikate ausstellen durften, von denen einige verwendet wurden, um Malware zu unterzeichnen. Diese Lücke erklärt, warum Forscher DigiCert-Zertifikate in Verbindung mit bösartigen Kampagnen gesehen haben, aber die Einträge, die Defender markiert waren Root-Zertifikate im Treuhandlager, nicht unbedingt die widerrufenen Codesignaturzertifikate, die der Forschung Komplexität verleiht und das Risiko von Sicherheitenschäden für das automatische Management von Signaturen durch AV-Lösungen erhöht.
Die praktischen Auswirkungen sind wichtig: Die Entfernung oder Änderung des AuthRoot kann TLS / HTTPS-Fehler, Fehler in der Validierung von Codesignaturen und Probleme in Anwendungen, die von der Vertrauenskette des Systems abhängen, erzeugen. Für Organisationen kann dies in unzugängliche Dienste übersetzt werden, Signaturen, die von Windows SmartScreen oder Unterbrechungen der Bereitstellungsströme und Updates abgelehnt werden.
Wenn Ihre Umgebung betroffen war, vermeiden Sie drastische Aktionen wie die Neuinstallation des Systems ohne erste Überprüfung der grundlegenden Fakten. Erstens: die Aktualisierung der Signaturen von Defender(Windows Security > Virus und Bedrohung Schutz > Schutz Updates > Suchen Sie nach Updates) oder überprüfen Sie PowerShell die Signaturversion mit Get-MpComputerStatus (Defender-Modul). Nach der Aktualisierung überprüfen Sie, ob die Zertifikate automatisch restauriert wurden und führen Sie eine vollständige Analyse mit Defender aus, um zu bestätigen, dass es keine böswilligen Überreste gibt.
Wenn die Zertifikate fehlen, überprüfen Sie das lokale Lager und Aufzeichnungen: mit PowerShell können Sie den lokalen Root Store (Cert:\ LocalMachine\ AuthRoot) auflisten und legitime Zertifikate exportieren / wieder importieren, wenn Sie eine Kopie haben. Windows kann auch Wurzeln durch den automatischen Zertifikat-Update-Service wiederherstellen, und wenn Sie manuell wiederherstellen müssen, können Sie Certutil oder PowerShell verwenden, um zuverlässige Zertifikate hinzuzufügen. In jedem Fall hält es Kopien der Zertifikate und der Registrierung vor Änderungen und dokumentiert die Prüfung Intervention.
Neben der Wiederherstellung des Vertrauens, nimmt es post-incident Kontrollen: es überprüft die Systemintegrität mit SFC / scannow und DISM / Online / Cleanup-Image / RestoreHealth, überprüft die neuesten Login und Zugriffe, bricht exponierte administrative Anmeldeinformationen und wendet die Suche nach Verpflichtungsindikatoren (IoC) in Bezug auf die Kampagne, die kompromittierte Zertifikate verwendet. Wenn Sie viele Endpunkte verwalten, priorisieren Sie die Aktualisierung von Signaturen in Ihren zentralen Administrationstools und überwachen Sie Hilfeschalter und Foren, um Geräte zu diagnostizieren, die automatische Entfernungsaktionen erhalten haben.
Schließlich ist es wichtig, zwei verwandte, aber verschiedene Probleme zu trennen: die betrügerische Ausgabe oder schädliche Verwendung von Signaturzertifikaten (das Problem mit DigiCert) und die falsche positive Antiviren-Lösungen, die Root-Zertifikate beeinflussen. Für die Überwachung und den technischen Kontext, überprüfen Sie die öffentliche Spur des DigiCert-Vorfalls (Diskussion auf technischen Plattformen wie Mozillas Tracking Bug) und Microsofts Offenlegung auf Erkennung: Bugzilla auf dem DigiCert Vorfall.
Wenn Sie es brauchen, kann ich Ihnen dabei helfen, bestimmte Verfahren zur Prüfung zu schreiben und gegebenenfalls Zertifikate in einem Team oder einer Flotte wiederherzustellen, einschließlich empfohlener Befehle und minimaler forensischer Kontrollen, bevor Sie eine automatische Restaurierung akzeptieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...