Die fälschlich erkannten Wurzelzertifikate stammen laut einem Reddit-Beitrag von DigiCert und wurden auf betroffenen Systemen aus dem AuthRoot-Speicher unter dem entsprechenden Registry-Schlüssel entfernt. Da es sich um Zertifikate im Windows-Vertrauensspeicher handelt, führte ihre Löschung zu weitreichenden Problemen und Verunsicherung.

Microsoft hat die fehlerhaften Erkennungen mittlerweile behoben. Die neuen Defender-Updates installieren sich automatisch; Nutzer können die Aktualisierung manuell erzwingen, indem sie unter Windows-Sicherheit den Bereich Viren- und Bedrohungsschutz öffnen und unter den Schutzupdates nach Updates suchen. Mehreren Reddit-Berichten zufolge werden mit dem Update auch zuvor gelöschte Zertifikate wiederhergestellt.

Pikant ist die zeitliche Nähe zu einem bekannt gewordenen Sicherheitsvorfall bei DigiCert, durch den Angreifer an gültige Code-Signing-Zertifikate gelangten und damit Schadsoftware signierten. Laut dem Vorfallbericht von DigiCert zielten die Angreifer Anfang April auf das Support-Personal des Unternehmens, indem sie Support-Nachrichten mit einer schädlichen ZIP-Datei verschickten, die als Screenshot getarnt war. Nach mehreren blockierten Versuchen wurde schließlich das Gerät eines Support-Mitarbeiters kompromittiert, gefolgt von einem zweiten System, das wegen einer „Sensorlücke" der Endpunktschutzlösung zeitweise unentdeckt blieb.

Über den kompromittierten Support-Zugang nutzte der Angreifer eine Funktion im internen Support-Portal von DigiCert, mit der Support-Mitarbeiter Kundenkonten aus Kundensicht einsehen konnten. Dabei wurden „Initialisierungscodes" für bereits genehmigte, aber noch nicht ausgelieferte EV-Code-Signing-Zertifikate sichtbar. Laut DigiCert genügt der Besitz eines Initialisierungscodes zusammen mit einer genehmigten Bestellung, um das daraus resultierende Zertifikat zu erhalten – so konnten die Angreifer EV-Code-Signing-Zertifikate über mehrere Kundenkonten und Zertifizierungsstellen hinweg beziehen.

DigiCert zufolge wurden 60 Code-Signing-Zertifikate widerrufen, davon 27 im Zusammenhang mit einer Kampagne der Schadsoftware „Zhong Stealer". 11 davon stammten aus Problemmeldungen von Community-Mitgliedern, die die Zertifikate mit Schadsoftware in Verbindung brachten, 16 wurden bei eigenen Untersuchungen identifiziert. Die betroffenen Zertifikate wurden nach eigenen Angaben innerhalb von 24 Stunden nach Entdeckung widerrufen.

Sicherheitsforscher wie Squiblydoo, MalwareHunterTeam und g0njxa hatten zuvor beobachtet, dass neu ausgestellte DigiCert-EV-Zertifikate für bekannte Unternehmen wie Lenovo, Kingston, Shuttle Inc und Palit Microsystems zum Signieren von Schadsoftware genutzt wurden. Squiblydoo schrieb auf X, diese Zertifikate seien von einer chinesischen Kriminellengruppe namens GoldenEyeDog (APT-Q-27) ausgestellt und verwendet worden. Die Schadsoftware trägt den Namen „Zhong Stealer", auch wenn Analysen darauf hindeuten, dass es sich eher um einen Fernzugriffstrojaner (RAT) als um einen Infostealer handelt.

Microsoft hat nicht bestätigt, dass die Defender-Erkennungen eine Folge des DigiCert-Vorfalls sind. Allerdings legen der Zeitpunkt und der Fokus auf DigiCert-Zertifikate einen möglichen Zusammenhang nahe. Zu beachten ist, dass die von Defender markierten Wurzelzertifikate im Windows-Vertrauensspeicher nicht mit den widerrufenen DigiCert-Code-Signing-Zertifikaten übereinstimmen, die zum Signieren von Schadsoftware verwendet wurden. BleepingComputer hat Microsoft mit Fragen zu der Kampagne kontaktiert, auch zu einem möglichen Bezug zur DigiCert-Sicherheitsverletzung.