Hersteller wie Lenovo, Kingston, Shuttle Inc. und Palit Microsystems sind von einem Zertifikatsproblem betroffen. Eine chinesische Hackergruppe namens GoldenEyeDog (APT-Q-27) war in der Lage, EV-Zertifikate im Namen der oben genannten Organisationen auszustellen und für kriminelle Zwecke zu missbrauchen.
Ich bin kürzlich in nachfolgendem Tweet auf den Sachverhalt gestoßen, wo gefragt wird, was die Firmen Lenovo, Kingston, Shuttle Inc. und Palit Microsystems gemeinsam hätten.
Und als Antwort heißt es, dass eine chinesische Hackergruppe namens GoldenEyeDog (APT-Q-27) EV-Zertifikate im Namen der oben genannten Organisationen ausgestellt habe. Es handelt sich um neue, auf die Namen der oben erwähnten Unternehmen ausgestellte, Zertifikate. Die Zertifikate wurden ausschließlich zum Signieren von Malware verwendet.
Der Sicherheitsexperte Squiblydoo gibt an, 12 solcher Zertifikate festgestellt zu haben, 69 davon für dieselbe Malware: Zhong Stealer. In einer Serie von Folge-Tweets wird dieser Sachverhalt noch detaillierter beschrieben.
DigiCert bestätigt das Problem
In diesem Tweet wird aus dem Incident-Report der ausstellenden Zertifikatsstelle (DigiCert) zitiert, die das Problem Ende April 2026 so bestätigt:
Der Angreifer nutzte einen kompromittierten Endpunkt eines Support-Mitarbeiters, um auf das interne Support-Portal von DigiCert zuzugreifen. Der Angreifer nutzte eine eingeschränkte Funktion innerhalb des Kundensupport-Portals, die es authentifizierten DigiCert-Support-Analysten ermöglicht, aus der Perspektive des Kunden auf Kundenkonten zuzugreifen, um Support-Aufgaben zu erleichtern. Der Angreifer konnte diese Funktion nutzen, um auf Initialisierungscodes für Bestellungen zuzugreifen, die genehmigt, aber noch nicht ausgeliefert waren – und zwar für Bestellungen von EV-Code-Signing-Zertifikaten für eine begrenzte Anzahl von Kundenkonten.
Der Besitz des Initialisierungscodes in Verbindung mit einer genehmigten Bestellung reicht aus, um das entsprechende Zertifikat zu generieren und abzurufen. Der vollständige Bericht ist hier zu finden und erläutert den Vorfall ausführlich. DigiCert hat die betreffenden Zertifikate zurückgerufen und für ungültig erklärt.
Der Vorfall ging glimpflich aus, weil ein in der Sicherheitsforschung tätiges Community-Mitglied das sich entwickelnde Muster missbräuchlich verwendeter Zertifikate meldete, und Kontakt zum DigiCert-Support-Team aufnahm Ohne diese Meldung wären die unentdeckte Kompromittierung von ENDPOINT2 und die damit verbundene fehlerhafte Ausstellung möglicherweise noch für längere Zeit unentdeckt geblieben.
Ergänzung: Kollege Zufall zugeschlagen – ich hatte das Thema vor einigen Tagen gesehen und den Beitrag auf Vorrat für das lange Wochenende vorbereitet. Dass gerade heute, nachdem der Beitrag online ging, der Defender aus dem Tritt kommt, war definitiv nicht von mir beabsichtigt (den Schuh ziehe ich mir nicht an ;-), sage ich jetzt mal). Ich bin jetzt dazu gekommen, einige Zeilen mit meiner (hoffentlich korrekten) Sichtweise zusammen zu schreiben: Microsoft Defender blockt DigiCert-Root-Zertifikate als Trojan:Win32/Cerdigent.A!dha (3. Mai 2026)
MVP: 2013 – 2016
Es gibt also eine zufällige Sicherheitslücke, die zufällig entdeckt wurde und dann auch behoben wurde. Dann ist alles gut. Nicht so beruhigend, wenn Entdeckungen zufällig erst Jahre später gefunden werden oder erst nachdem ein Schaden aufgetreten ist. Ich warte immer noch auf die Meldung, dass irgendeine pfiffige Malware es geschafft hat, sich als Microsoft Preview Monatsupdate auf die Windows PCs zu kopieren. Bisher war das sicher durch das vorher erforderliche Servicing Stack Update (SSU). Das ist absolut sicher, da Microsoft geprüfte Software – oder ääh halt, Moment ;-)
"Zufällig?" != "einen kompromittierten Endpunkt eines Support-Mitarbeiters"
Was bedeutet EV?
Extended Validation
de.wikipedia. org/wiki/Extended-Validation-Zertifikat
Vor ein paar Minuten hat Windows Defender zwei Zertifikate wegblockiert:
rootcert: 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
rootcert: DDFB16CD4931C973A2037D3FC83A4D7D775D05E4
Mit Erkennung von "Trojan:Win32/Cerdigent.A!dha"
Reddit diskutiert schon fleißig darüber da es wohl viele Windows Nutzer betrifft und es wird auch diskutiert dass es komplett cleane Neuinstallationen betrifft.
Weiß jemand ob das mit dem Thema hier in Zusammenhang steht?
hmm… bisher wurde hier nichts blockiert.
Das sind Root-Zertifikate von DigiCert. Die kompromittierten Zertifikate wurden von DigiCert signiert, insofern könnte das der Zusammenhang sein. Denkbar auch, das Windows Defender in der Meldung anstatt das eigentlich blockierte Zertifikat, bzw. die Datei die damit signiert wurde, das signierende Root-Zertifikat ausgibt. Ob da was dran ist oder ein False Positive, darüber kann man vorerst nur spekulieren.
0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 :
CN=DigiCert Assured ID Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
gültig bis 10.11.2031
DDFB16CD4931C973A2037D3FC83A4D7D775D05E4 :
CN=DigiCert Trusted Root G4, OU=www.digicert.com, O=DigiCert Inc, C=US
gültig bis 15.01.2038
Bei mir kam der Alarm auch gerade; scheinbar geht es gerade richtig rund. Da plötzlich so viele Erkennungen auftreten spricht das eher für ein false positive seit dem letzten Signatur-Update… hoffentlich!
Das Thema steht im Zusammenhang. Ich bin jetzt dazu gekommen, einige Zeilen mit meiner (hoffentlich korrekten) Sichtweise zusammen zu schreiben.
Microsoft Defender blockt DigiCert-Root-Zertifikate als Trojan:Win32/Cerdigent.A!dha (3. Mai 2026)
Das Problem ist bei mir auch aufgetreten – wäre interessant, mehr zu erfahren!
Hier auch. Plötzlich aufgeploppt.
Scheint aber ein Fehler von MS zu sein mit dem Defender Updates.
…war wohl wirklich ein Fehlalarm vom Defender. Mit den aktuellsten Virusdefinitionen scheint das behoben zu sein …