Der Fehler offenbarte eine bemerkenswerte Sicherheitspanne bei Microsoft: Nach einem Signature-Update am 30. April begannen Systemadministratoren weltweit zu berichten, dass DigiCert-Rootzertifikate als Malware gekennzeichnet wurden. Auf betroffenen Systemen wurden diese Einträge automatisch aus dem Windows AuthRoot-Store gelöscht – eine drastische Maßnahme, die zu Zertifikatierungsfehlern und Verbindungsproblemen führte. In mehreren Fällen vertrauten Nutzer eher auf eine Neuinstallation des Betriebssystems als auf die richtige Diagnose des Problems.
Microsoft behob den Fehler durch die Sicherheitsintelligenz-Updates 1.449.430.0 und später 1.449.431.0. Nach einem Bericht auf Reddit werden auch zuvor gelöschte Zertifikate automatisch wiederhergestellt. Windows-Nutzer können die aktuelle Version manuell über Windows Security > Virus- und Bedrohungsschutz > Schutzupdates abrufen.
Der Fehler steht in zeitlichem Zusammenhang mit einem DigiCert-Sicherheitsincident im April. Der Zertifikataussteller gab bekannt, dass Angreifer Zugriff auf die Support-Umgebung erhielten und Initialisierungscodes für EV-Code-Signing-Zertifikate kompromitierten. Die Attacke begann mit Phishing-Mails gegen Support-Mitarbeiter, die scheinbar Problemberichte mit schädlichen ZIP-Dateien enthielten. Nach mehreren fehlgeschlagenen Versuchen wurde schließlich ein Support-Analyst kompromittiert, gefolgt von einem zweiten System, das lange unentdeckt blieb.
Die Angreifer nutzten dann ein Portal-Feature, das Support-Mitarbeitern Kundenzugriff ermöglichte, und gelangten so an Initialisierungscodes für nicht ausgelieferte, aber genehmigte EV-Code-Signing-Zertifikate. Mit Code und genehmigter Bestellung konnten sie diese Zertifikate abrufen und zum Signieren von Malware verwenden.
DigiCert widerrief 60 Code-Signing-Zertifikate, darunter 27 im Zusammenhang mit der “Zhong Stealer”-Malware-Kampagne. Sicherheitsforscher beobachteten, dass diese Zertifikate unter Firmennamen wie Lenovo, Kingston und Palit Microsystems ausgestellt und von der chinesischen Gruppe GoldenEyeDog (APT-Q-27) zur Signierung von RAT-Malware missbraucht wurden.
Microsoft bestätigte nicht explizit, dass die fehlerhaften Defender-Erkennungen direkt aus diesem Incident resultierten – allerdings sprechen Timing und Fokus auf DigiCert-Zertifikate für diese Verbindung. Wichtig: Die irrtümlich gelöschten Zertifikate sind Rootzertifikate im Trust-Store, nicht die revokten Code-Signing-Zertifikate der Malware-Kampagnen selbst. Dies deutet auf einen Fehler bei der Signature-Implementierung hin.