{"id":324518,"date":"2026-05-03T21:40:28","date_gmt":"2026-05-03T19:40:28","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=324518"},"modified":"2026-05-03T21:47:34","modified_gmt":"2026-05-03T19:47:34","slug":"microsoft-defender-blockt-digicert-root-zertifikate-als-trojanwin32-cerdigent-adha-3-mai-2026","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/05\/03\/microsoft-defender-blockt-digicert-root-zertifikate-als-trojanwin32-cerdigent-adha-3-mai-2026\/","title":{"rendered":"Microsoft Defender blockt DigiCert-Root-Zertifikate als Trojan:Win32\/Cerdigent.A!dha (3. Mai 2026)"},"content":{"rendered":"

\"SicherheitZum 3. Mai 2026 wurden eine Reihe Nutzer von Alarmen des Microsoft Defender unter Windows 11 aufgeschreckt. Der Defender hat diverse geblockte DigiCert-Zertifikate als Trojan:Win32\/Cerdigent.A!dha<\/em> gemeldet. Der Hintergrund ist, dass DigiCert die Tage einige Zertifikate, die von Herstellern benutzt, aber von einer chinesischen Cybergruppe missbraucht wurden, zur\u00fcckgerufen.<\/p>\n

<\/p>\n

R\u00fcckblick auf das DigiCert-Zertifikate-Revoke<\/h2>\n

\"\"Vor einigen Tagen bin ich auf X \u00fcber die Information gestolpert, dass DigiCert Root-Zertifikate zur\u00fcckgerufen habe. Hintergrund ist, dass die chinesische Hackergruppe GoldenEyeDog (APT-Q-27) in der Lage war, EV-Zertifikate im Namen von Lenovo, Kingston, Shuttle Inc. und Palit Microsystems auszustellen und zur Signierung von Malware zu missbrauchen. Die Details sind in diesem Bug-Report offen gelegt. Ich hatte im Blog-Beitrag EV-Zertifikate von Lenovo & Co. durch GoldenEyeDog missbraucht<\/a> auf den Sachverhalt hingewiesen.<\/p>\n

Defender blockiert Zertifikate Trojan:Win32\/Cerdigent.A!dha<\/h2>\n

Mir ist das Thema in Kommentaren zum Beitrag EV-Zertifikate von Lenovo & Co. durch GoldenEyeDog missbraucht<\/a>\u00a0 sowie per Mail zugegangen.<\/p>\n

Eine Nutzermeldung per Mail<\/h3>\n

Stephan hat mir heute Nachmittag eine E-Mail mit dem Betreff \"Trojan:Win32\/Cerdigent.A!dha: Vermutlich false positive\" der Botschaft \"vielleicht interessiert Dich das hier f\u00fcr Deinen Blog\" geschickt. Er schrieb, dass \"heute Mittag\" bei den Microsoft Defender \"vereinzelt rot wurde\". Nach seinen bisherigen Recherchen handelt es sich vermutlich um \"false positives\".<\/p>\n

Das Defender-Update 1.449.424.0 brachte laut Leser die o.g. Signatur zur Erkennung von Trojan:Win32\/Cerdigent.A!dha mit, die zwei Root-Zertifikate von DigiCert als sch\u00e4dlich einstuft. Der Leser schrieb: \"Ich bin mir noch nicht sicher, aber auf mich wirkt es, als ob das ein Fehler ist, den Microsoft mit Defender-Update 1.449.425.0 behoben hat. Ich beobachte das noch eine kleine Weile, gehe aber von einem Fehlalarm aus. Auf Reddit finden sich bereits einige Thread und zahlreiche Leute, die betroffen sind.\"<\/p>\n

Leserkommentare hier im Blog<\/h3>\n

In diesem Kommentar<\/a> schreibt Chris, dass der Defender \"vor ein paar Minuten Windows Defender folgende zwei Zertifikate wegblockiert habe:<\/p>\n

rootcert: 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43rootcert: DDFB16CD4931C973A2037D3FC83A4D7D775D05E4<\/p>\n

Es wird eine Erkennung von \"Trojan:Win32\/Cerdigent.A!dha\" gemeldet. Das Thema werde bei reddit.com diskutiert.<\/p>\n

Diskussionen bei Microsoft und reddit.com<\/h3>\n

Bei Microsoft Q&A gibt es seit heute den Thread\u00a0Trojan:Win32\/Cerdigent.A!dha<\/a>, wo jemand die oben genannte Warnung thematisiert. Nachfolgend ist die Defender-Meldung aus diesem Thread zu sehen.<\/p>\n

\"Defender<\/p>\n

Zahlreiche Nutzer best\u00e4tigen den gleichen Alarm des Defender. Ein Nutzer r\u00e4t, \"F\u00fchren Sie Windows Update aus. Dieses Problem wurde im neuesten Microsoft-Sicherheitsdefinitionsupdate 1.449.430.0 behoben.\" – die Trojaner-Signatur wird nicht mehr erkannt.<\/p>\n

Auf reddit.com finden sich z.B. dieser<\/a> und dieser<\/a> Thread mit der gleichen Thematik. Obiger R\u00fcckblick erkl\u00e4rt, warum Microsoft die beiden DigiCert-Zertifikate im Defender gesperrt hat. Die Funde gehen aber mutma\u00dflich in so gut wie allen F\u00e4llen nicht auf die Malware der chinesischen Hackergruppe GoldenEyeDog (APT-Q-27) zur\u00fcck geht.<\/p>\n

\"Defender<\/a><\/p>\n

Sicherheitsexperte Florian Roth weist in obigem Tweet<\/a> auf den gleichen Sachverhalt hin. Es bleibt aber das Problem, dass die oben genannten Zertifikate zur\u00fcckgerufen wurden, und dass die chinesische Cybergruppe ihre Malware mit diesen Zertifikaten signieren konnten. Die Malware sollte erkannt werden, ohne dass andere, legitime Software, die mit den gesperrten Zertifikaten signiert wurde, nicht irrt\u00fcmlich als Trojaner gemeldet wird.<\/p>\n","protected":false},"excerpt":{"rendered":"

Zum 3. Mai 2026 wurden eine Reihe Nutzer von Alarmen des Microsoft Defender unter Windows 11 aufgeschreckt. Der Defender hat diverse geblockte DigiCert-Zertifikate als Trojan:Win32\/Cerdigent.A!dha gemeldet. Der Hintergrund ist, dass DigiCert die Tage einige Zertifikate, die von Herstellern benutzt, aber … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[161,301],"tags":[2699,24,4328,3288],"class_list":["post-324518","post","type-post","status-publish","format-standard","hentry","category-virenschutz","category-windows","tag-defender","tag-problem","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324518","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=324518"}],"version-history":[{"count":3,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324518\/revisions"}],"predecessor-version":[{"id":324523,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324518\/revisions\/324523"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=324518"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=324518"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=324518"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}