Notebookcheck Logo

Microsoft Defender flaguje certyfikaty DigiCert jako złośliwe oprogramowanie

Wadliwa aktualizacja sygnatur Microsoft Defender spowodowała, że zaufane certyfikaty główne DigiCert zostały oznaczone jako złośliwe oprogramowanie i usunięte z systemów Windows.
ⓘ magnific.com/author/kjpargeter
Wadliwa aktualizacja sygnatur Microsoft Defender spowodowała, że zaufane certyfikaty główne DigiCert zostały oznaczone jako złośliwe oprogramowanie i usunięte z systemów Windows.
Wadliwa aktualizacja sygnatur programu Defender oznaczyła dwa zaufane certyfikaty główne DigiCert jako złośliwe oprogramowanie i usunęła je z systemów Windows na całym świecie.
Desktop Laptop / Notebook Microsoft Software Windows Security

Microsoft Defender oznaczył w zeszłym tygodniu dwa z najbardziej zaufanych certyfikatów głównych w Internecie jako złośliwe oprogramowanie, powodując rozległe zakłócenia w środowiskach Windows w przedsiębiorstwach. Fałszywie dodatni wynik rozpoczął się 30 kwietnia, kiedy to aktualizacja sygnatur programu Defender wprowadziła wykrywanie oznaczone jako Trojan:Win32/Cerdigent.A!dha. Zamiast wyłapać złośliwe oprogramowanie, błędnie dopasowano skróty kryptograficzne dwóch głównych certyfikatów DigiCert obecnych na praktycznie każdym używanym obecnie komputerze z systemem Windows.

Dotknięte certyfikaty to DigiCert Assured ID Root CA, odcisk kciuka 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 oraz DigiCert Trusted Root G4, odcisk kciuka DDFB16CD4931C973A2037D3FC83A4D7D775D05E4. Oba znajdują się w sklepie zaufania systemu Windows od lat i są używane do walidacji połączeń SSL/TLS, operacji podpisywania kodu i wywołań API w milionach systemów korporacyjnych i konsumenckich. Kiedy Defender poddał je kwarantannie, te łańcuchy walidacji zostały przerwane. Niektórzy administratorzy spędzili godziny na diagnozowaniu awarii usług przed zidentyfikowaniem przyczyny. Inni, widząc wykrycie trojana w swojej konsoli bezpieczeństwa, całkowicie przeinstalowali system operacyjny.

Co było przyczyną

Fałszywie pozytywny wynik jest powiązany z prawdziwym incydentem w DigiCert. Na początku kwietnia atakujący użyli złośliwego pliku ZIP podszywającego się pod zrzut ekranu klienta, aby skompromitować dwa punkty końcowe zespołu wsparcia w firmie, wykorzystując błędnie skonfigurowane wdrożenie EDR na jednym komputerze, które nie wychwyciło początkowej dostawy. Atakujący uzyskali dostęp do wewnętrznego portalu pomocy technicznej DigiCert i uzyskali kody inicjalizacyjne dla ograniczonej liczby certyfikatów EV do podpisywania kodem. DigiCert zidentyfikował i unieważnił 60 certyfikatów, w tym te powiązane z kampanią złośliwego oprogramowania Zhong Stealer, w ciągu 24 godzin.

Microsoft szybko podjął działania w celu zwiększenia wykrywalności programu Defender, aby chronić klientów przed złośliwym oprogramowaniem podpisanym za pomocą zainfekowanych certyfikatów. Zastosowana logika wykrywania była zbyt szeroka. Wyłapała ona legalne główne urzędy certyfikacji DigiCert wraz z unieważnionymi certyfikatami podpisywania kodu, uruchamiając akcje kwarantanny w systemach Windows, które nie zrobiły nic złego. "Wcześniej dzisiaj ustaliliśmy, że fałszywie pozytywne alerty zostały omyłkowo uruchomione i zaktualizowaliśmy logikę alertów" - powiedział Microsoft dla BleepingComputer. Poprawka pojawiła się w aktualizacji Security Intelligence 1.449.430.0. Systemy, które zastosowały aktualizację, automatycznie przywróciły swoje certyfikaty. Administratorzy w środowiskach z ograniczonymi zasadami aktualizacji musieli ręcznie zweryfikować przywrócenie za pomocą certutil -store AuthRoot | findstr -i "digicert".

Co zrobić, jeśli nadal występuje problem

Niektórzy użytkownicy zgłaszali, że nadal widzą alert Trojan:Win32/Cerdigent.A!dha w wersji definicji 1.449.446.0, co sugeruje, że poprawka nie rozprzestrzeniła się w pełni we wszystkich ścieżkach dostarczania definicji. Microsoft zaleca aktualizację programu Defender do najnowszej dostępnej wersji Security Intelligence poprzez Ustawienia, następnie Zabezpieczenia systemu Windows, następnie Ochrona przed wirusami i zagrożeniami, a następnie Aktualizacje ochrony. Uruchomienie Windows Update i ponowne uruchomienie komputera powinno zakończyć przywracanie certyfikatów poddanych kwarantannie. DigiCert potwierdził na swoim blogu, że certyfikaty nieprawidłowo usunięte przez Defender powinny zostać przywrócone automatycznie po zastosowaniu aktualizacji i że nie doszło do szerszego naruszenia certyfikatów, kont lub systemów klientów.

Jest to kolejne znaczące zakłócenie związane z aktualizacjami Microsoftu w kwietniu i maju, po KB5083769 na komputerach HP i Dell, wymuszeniu aktualizacji do Windows 11 25H2 i tej samej aktualizacji, która zepsuła narzędzia do tworzenia kopii zapasowych innych firm Acronis i Macrium. Notebookcheck opisał KB5083769 sytuacja.

Please share our article, every link counts!
Mail Logo

Powiązane artykuły

> laptopy testy i recenzje notebooki > Nowinki > Archiwum v2 > Archiwum 2026 05 > Microsoft Defender flaguje certyfikaty DigiCert jako złośliwe oprogramowanie
Darryl Linington, 2026-05- 7 (Update: 2026-05- 7)