Microsoft Defender stuft DigiCert-Root-Zertifikate fälschlicherweise als Malware ein

Die Zertifikate befinden sich im Windows-Vertrauensspeicher unter dem Registry-Pfad HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates, wo Windows vertrauenswürdige Root- und Zwischenzertifizierungsstellen verwaltet.

Auf betroffenen Systemen hat Microsoft Defender die markierten Zertifikateinträge automatisch im Rahmen seines standardmäßigen Remediation-Workflows in Quarantäne verschoben und sie damit effektiv aus dem Windows-Vertrauensspeicher entfernt.

Microsoft Defender Warning Dies schuf ein ernstes nachgeschaltetes Risiko: Ohne diese Stammzertifikate könnten Systeme die SSL/TLS-Verbindungen für Websites nicht validieren und die Code-Signaturprüfung für legitime Software unterbrechen, ein Szenario, das zu Dienstunterbrechungen, Browserwarnungen und Anwendungsfehlern in gesamten Unternehmensnetzwerken führen könnte.

Organisationen, die auf DigiCert-signierte Software

Organisationen, die auf DigiCert-signierte Software oder HTTPS-Endpunkte angewiesen waren, waren besonders exponiert. Der Cybersicherheitsforscher Florian Roth (@cyb3rops) gehörte zu den Ersten, der das Problem öffentlich identifizierte und verstärkte, indem er auf X postete und die Sicherheits-Community aufforderte, dies zu untersuchen.

Die eigenen Q&A-Foren füllten sich schnell mit Berichten , die den False Positive bestätigten, wobei Benutzer feststellten, dass die DigiCert-Zertifikat-Hashes mit offiziell auf der Website öffentlichten Werten übereinstimmten und somit bestätigt wurde, dass kein tatsächlicher Kompromittierungsvorfall aufgetreten war.

Reaktion räumte das Problem ein und begann schnell mit der Bereitstellung korrigierender Definitions-Updates, wobei Version .430 als wesentliche Korrektur zitiert wurde, die begann, die in Quarantäne gestellten Zertifikate auf den betroffenen Maschinen wiederherzustellen.

Sicherheitsbeobachter stellten fest, dass die Wiederherstellung

Sicherheitsbeobachter stellten fest, dass die Wiederherstellung automatisch auf verwaltete Endpunkte ausgerollt zu sein schien, was darauf hindeutet, dass Microsoft neben dem korrigierten Signatur-Update eine stille Bereinigung durchgeführt hat.

Administratoren in Umgebungen mit eingeschränkten Update-Richtlinien wurden beraten, die Anwesenheit überprüfen und die Protokolle des Advanced Hunting in Microsoft Defender for Endpoint zu prüfen, um die Wiederherstellung zu bestätigen.

Dieser Vorfall unterstreicht die zweischneidige Natur der automatisierten Bedrohungsbehebung.

Während eine proaktive Quarantäne vor der

Während eine proaktive Quarantäne vor der Manipulation des Zertifikatsspeichers schützt – einer bekannten Malware-Technik, die verwendet wird, um TLS-Verkehr abzufangen oder Sicherheitsüberprüfungen zu umgehen – kann derselbe Mechanismus erheblichen Betriebs-Schaden anrichten, wenn er falsch ausgelöst wird.

Das Cerdigent-Falschpositives dient als Erinnerung daran, dass selbst vertrauenswürdige Sicherheitsplattformen strenge Qualitätskontrollen bei der Veröffentlichung müssen, insbesondere bei Erkennungen, die grundlegende Windows-Infrastrukturkomponenten wie den Root-Zertifikatsspeicher betreffen.

Sie uns auf

Der Beitrag Microsoft Defender Mistakenly Flags DigiCert Root Certificates as Malware erschien zuerst auf Cyber Security News.