*Update: Microsofts Stellungnahme wurde am Ende des ersten Abschnitts dieses Artikels hinzugefügt.* **Microsoft Defender** erkennt legitime **DigiCert**-Stammzertifikate als **Trojan:Win32/Cerdigent.A!dha**, was zu weitreichenden Fehlalarmen führt und in einigen Fällen Zertifikate aus Windows entfernt. Laut einem Cybersicherheitsexperten trat das Problem erstmals auf, nachdem **Microsoft** die Erkennungen am 30. April in ein Defender-Signaturupdate aufgenommen hatte. Heute begannen Administratoren weltweit zu berichten, dass **DigiCert**-Stammzertifikateinträge als Malware gekennzeichnet und auf betroffenen Systemen aus dem Windows-Vertrauensspeicher entfernt wurden. Laut einem Reddit-Post über die Fehlalarme sind die erkannten Zertifikate: * 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 * DDFB16CD4931C973A2037D3FC83A4D7D775D05E4 Auf betroffenen Systemen wurden diese Zertifikate aus dem AuthRoot-Speicher unter folgendem Registrierungsschlüssel entfernt: HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\ Diese Fehlalarme haben bei Windows-Nutzern Besorgnis ausgelöst, wobei einige dachten, ihre Geräte seien infiziert und das Betriebssystem zur Sicherheit neu installiert haben.  **Microsoft** hat die Erkennungen Berichten zufolge im Security Intelligence-Update Version **1.449.430.0** behoben, und das aktuellste Update ist nun 1.449.431.0. Andere Berichte auf Reddit deuten darauf hin, dass die Korrektur auch zuvor entfernte Zertifikate auf betroffenen Systemen wiederherstellt. Die neuen **Microsoft Defender**-Updates werden automatisch installiert, und Windows-Benutzer können eine Aktualisierung manuell erzwingen, indem sie zu **Windows-Sicherheit** > **Viren- & Bedrohungsschutz** > **Schutzupdates** gehen und auf **Nach Updates suchen** klicken. Nach der Veröffentlichung dieses Artikels bestätigte **Microsoft**, dass die Fehlalarme mit Erkennungen für kompromittierte Zertifikate aus einem kürzlichen **DigiCert**-Einbruch zusammenhängen. "Nach Berichten über kompromittierte Zertifikate hat **Microsoft Defender** umgehend Erkennungen für Malware in unserer Defender Antivirus Software hinzugefügt, um Kunden zu schützen. Heute Morgen stellten wir fest, dass fälschlicherweise Fehlalarme ausgelöst wurden, und haben die Alarmierungslogik aktualisiert", teilte **Microsoft** BleepingComputer mit. "**Microsoft Defender** hat die Alarme für Kundenumgebungen unterdrückt und bereinigt. Kunden sollten auf Security Intelligence Version 1.449.430.0 oder höher aktualisieren, müssen aber für diese Alarme keine zusätzlichen Maßnahmen ergreifen. Wir haben betroffene Organisationen benachrichtigt und empfehlen Administratoren, weitere Details im Service Health Dashboard (SHD) im M365 Admin Center zu suchen." ## Mit jüngstem DigiCert-Einbruch verbunden Die Fehlalarme treten kurz nach einem bekannt gewordenen **DigiCert**-Sicherheitsvorfall auf, der es Angreifern ermöglichte, gültige Code-Signing-Zertifikate zu erlangen, die zur Signierung von Malware verwendet wurden. "Ein Malware-Vorfall zielte auf ein Mitglied des Kundensupport-Teams ab. Nach der Erkennung wurde der Bedrohungsvektor eingedämmt", erklärt der **DigiCert**-Vorfallbericht. "Unsere anschließende Untersuchung ergab, dass der Angreifer Initialisierungscodes für eine begrenzte Anzahl von Code-Signing-Zertifikaten beschaffen konnte, von denen wenige dann zur Signierung von Malware verwendet wurden." "Die identifizierten Zertifikate wurden innerhalb von 24 Stunden nach der Entdeckung widerrufen und das Widerrufsdatum auf ihr Ausstellungsdatum gesetzt. Als Vorsichtsmaßnahme wurden ausstehende Bestellungen im relevanten Zeitraum storniert. Weitere Details werden in unserem vollständigen Vorfallbericht bereitgestellt." Laut **DigiCerts**-Vorfallbericht griffen Angreifer Anfang April die Support-Mitarbeiter des Unternehmens an, indem sie Support-Nachrichten mit einer bösartigen ZIP-Datei erstellten, die als Screenshot getarnt war. Nach mehreren blockierten Versuchen wurde das Gerät eines Support-Analysten schließlich kompromittiert, gefolgt von einem zweiten System, das aufgrund einer "Sensorlücke" im Endpoint-Schutz eine Zeit lang unentdeckt blieb. Mit dem Zugriff auf die kompromittierte Support-Umgebung nutzte der Hacker eine Funktion im internen Support-Portal von **DigiCert**, die es dem Support-Personal ermöglichte, Kundenkonten aus der Perspektive des Kunden einzusehen. Obwohl der Umfang begrenzt war, ermöglichte dieser Zugriff den Zugriff auf "Initialisierungscodes" für zuvor genehmigte, aber noch nicht ausgelieferte EV-Code-Signing-Zertifikatsbestellungen. "Der Besitz eines Initialisierungscodes in Kombination mit einer genehmigten Bestellung reicht aus, um das resultierende Zertifikat zu erhalten (siehe Diskussion der beitragenden Faktoren unten)", erklärte **DigiCert**. "Da der Angreifer diese beiden Informationen für eine begrenzte Anzahl genehmigter Bestellungen erhalten konnte, konnte er EV-Code-Signing-Zertifikate für eine Reihe von Kundenkonten und CAs erlangen." **DigiCert** sagt, es habe 60 Code-Signing-Zertifikate widerrufen, darunter 27, die mit einer "Zhong Stealer"-Malware-Kampagne in Verbindung gebracht wurden. "11 wurden in Zertifikatsproblemberichten identifiziert, die von Community-Mitgliedern an **DigiCert** übermittelt wurden und die Zertifikate mit Malware in Verbindung brachten, und 16 wurden während unserer eigenen Untersuchung identifiziert", erklärte **DigiCert**. ## Zhong Stealer Malware-Kampagne Dies stimmt mit früheren Berichten von Sicherheitsexperten überein, die neu ausgestellte **DigiCert** EV-Zertifikate in Malware-Kampagnen beobachtet und sie an **DigiCert** gemeldet hatten. Forscher, darunter , , und , berichteten, dass Zertifikate, die an bekannte Unternehmen wie **Lenovo**, **Kingston**, **Shuttle Inc** und **Palit Microsystems** ausgestellt wurden, zur Signierung von Malware verwendet wurden. "Was haben **Lenovo**, **Kingston**, **Shuttle Inc** und **Palit Microsystems** gemeinsam?", . "EV-Zertifikate dieser Unternehmen wurden von einer chinesischen kriminellen Gruppe, #GoldenEyeDog (#APT-Q-27)!, ausgestellt und verwendet!" Die Malware in dieser Kampagne heißt "Zhong Stealer", obwohl Analysen darauf hindeuten, dass es sich eher um einen Remote-Access-Trojaner (RAT) als um einen Infostealer handelt. Der Forscher sagt, die Malware wurde durch folgende Angriffe verbreitet: * Phishing-E-Mails liefern ein gefälschtes Bild oder einen Screenshot * Ein ausführbares Programm der ersten Stufe, das ein Lockbild anzeigt * Abruf einer Payload der zweiten Stufe aus Cloud-Speichern wie AWS * Verwendung von signierten Binärdateien und Loadern, einschließlich Komponenten, die mit legitimen Anbietern verbunden sind Nachdem **DigiCert** den Vorfall bekannt gab, sagten die Forscher, dass der Vorfallbericht erklärt, wie die in diesen Malware-Kampagnen verwendeten Zertifikate erlangt wurden. Es ist anzumerken, dass die von **Microsoft Defender** gekennzeichneten Zertifikate Stammzertifikate im Windows-Vertrauensspeicher sind und nicht mit den widerrufenen **DigiCert**-Code-Signing-Zertifikaten übereinstimmen, die zur Signierung von Malware verwendet wurden.  ## 99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht. KI hat vier 0-Days zu einem einzigen Exploit verkettet, der sowohl Renderer- als auch OS-Sandboxes umgangen hat. Eine Welle neuer Exploits steht bevor. Auf dem Autonomous Validation Summit (12. und 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung das Ausnutzbare findet, beweist, dass Kontrollen greifen, und den Behebungszyklus schließt.