Zum 3. Mai 2026 wurden eine Reihe Nutzer von Alarmen des Microsoft Defender unter Windows 11 aufgeschreckt. Der Defender hat diverse geblockte DigiCert-Zertifikate als Trojan:Win32/Cerdigent.A!dha gemeldet. Der Hintergrund ist, dass DigiCert die Tage einige Zertifikate, die von Herstellern benutzt, aber von einer chinesischen Cybergruppe missbraucht wurden, zurückgerufen.
Rückblick auf das DigiCert-Zertifikate-Revoke
Vor einigen Tagen bin ich auf X über die Information gestolpert, dass DigiCert Root-Zertifikate zurückgerufen habe. Hintergrund ist, dass die chinesische Hackergruppe GoldenEyeDog (APT-Q-27) in der Lage war, EV-Zertifikate im Namen von Lenovo, Kingston, Shuttle Inc. und Palit Microsystems auszustellen und zur Signierung von Malware zu missbrauchen. Die Details sind in diesem Bug-Report offen gelegt. Ich hatte im Blog-Beitrag EV-Zertifikate von Lenovo & Co. durch GoldenEyeDog missbraucht auf den Sachverhalt hingewiesen.
Defender blockiert Zertifikate Trojan:Win32/Cerdigent.A!dha
Mir ist das Thema in Kommentaren zum Beitrag EV-Zertifikate von Lenovo & Co. durch GoldenEyeDog missbraucht sowie per Mail zugegangen.
Eine Nutzermeldung per Mail
Stephan hat mir heute Nachmittag eine E-Mail mit dem Betreff "Trojan:Win32/Cerdigent.A!dha: Vermutlich false positive" der Botschaft "vielleicht interessiert Dich das hier für Deinen Blog" geschickt. Er schrieb, dass "heute Mittag" bei den Microsoft Defender "vereinzelt rot wurde". Nach seinen bisherigen Recherchen handelt es sich vermutlich um "false positives".
Das Defender-Update 1.449.424.0 brachte laut Leser die o.g. Signatur zur Erkennung von Trojan:Win32/Cerdigent.A!dha mit, die zwei Root-Zertifikate von DigiCert als schädlich einstuft. Der Leser schrieb: "Ich bin mir noch nicht sicher, aber auf mich wirkt es, als ob das ein Fehler ist, den Microsoft mit Defender-Update 1.449.425.0 behoben hat. Ich beobachte das noch eine kleine Weile, gehe aber von einem Fehlalarm aus. Auf Reddit finden sich bereits einige Thread und zahlreiche Leute, die betroffen sind."
Leserkommentare hier im Blog
In diesem Kommentar schreibt Chris, dass der Defender "vor ein paar Minuten Windows Defender folgende zwei Zertifikate wegblockiert habe:
rootcert: 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43rootcert: DDFB16CD4931C973A2037D3FC83A4D7D775D05E4
Es wird eine Erkennung von "Trojan:Win32/Cerdigent.A!dha" gemeldet. Das Thema werde bei reddit.com diskutiert.
Diskussionen bei Microsoft und reddit.com
Bei Microsoft Q&A gibt es seit heute den Thread Trojan:Win32/Cerdigent.A!dha, wo jemand die oben genannte Warnung thematisiert. Nachfolgend ist die Defender-Meldung aus diesem Thread zu sehen.
Zahlreiche Nutzer bestätigen den gleichen Alarm des Defender. Ein Nutzer rät, "Führen Sie Windows Update aus. Dieses Problem wurde im neuesten Microsoft-Sicherheitsdefinitionsupdate 1.449.430.0 behoben." – die Trojaner-Signatur wird nicht mehr erkannt.
Auf reddit.com finden sich z.B. dieser und dieser Thread mit der gleichen Thematik. Obiger Rückblick erklärt, warum Microsoft die beiden DigiCert-Zertifikate im Defender gesperrt hat. Die Funde gehen aber mutmaßlich in so gut wie allen Fällen nicht auf die Malware der chinesischen Hackergruppe GoldenEyeDog (APT-Q-27) zurück geht.
Sicherheitsexperte Florian Roth weist in obigem Tweet auf den gleichen Sachverhalt hin. Es bleibt aber das Problem, dass die oben genannten Zertifikate zurückgerufen wurden, und dass die chinesische Cybergruppe ihre Malware mit diesen Zertifikaten signieren konnten. Die Malware sollte erkannt werden, ohne dass andere, legitime Software, die mit den gesperrten Zertifikaten signiert wurde, nicht irrtümlich als Trojaner gemeldet wird.
MVP: 2013 – 2016
