Erneute Update-Panne: Microsoft Defender löscht wichtige Zertifikate
Nach einem Update Ende April schlägt der Microsoft Defender weltweit Alarm. Er stuft fälschlicherweise legitime Zertifikate als gefährlichen Trojaner ein und löscht sie. Ein neues Update soll das Problem beheben.
Nach der Aktualisierung begann der Microsoft Defender plötzlich damit, legitime Root-Zertifikate des Anbieters DigiCert als akute Bedrohung zu markieren. Die Software stufte die harmlosen Dateien als Trojaner ein und entfernte sie umgehend aus dem Zertifikatsspeicher des Betriebssystems. Das führte zu massiven Störungen.
Wie Bleeping Computer berichtet, hat Microsoft den Fehler bestätigt und bereits korrigiert. Mit dem Security-Intelligence-Update auf Version 1.449.430.0 passten die Entwickler die Erkennungslogik an. Die Aktualisierung verhindert künftige Fehlalarme und stellt zudem die gelöschten Zertifikate automatisch wieder her. Wenn das nicht klappt, können Nutzer den Vorgang über die Windows-Sicherheitseinstellungen manuell anstoßen.
Durch den Zugang konnten die Hacker sogenannte Initialisierungscodes auslesen. In Kombination mit bereits genehmigten, aber noch nicht ausgelieferten Bestellungen erstellten sie sich selbst gültige Code-Signing-Zertifikate. Sie waren auf namenhafte Hardware-Hersteller wie Lenovo, Kingston oder Palit Microsystems ausgestellt.
Mit den gestohlenen Zertifikaten signierten die Täter anschließend die Schadsoftware Zhong Stealer, die vorwiegend über Cloud-Dienste verbreitet wird. Der Stealer entwendet Passwörter und Sitzungsdaten aus Browsern. Microsoft wollte seine Nutzer durch das erste Update genau vor der Bedrohung schützen. Das blockierte die Malware zwar sofort, betraf durch die ungenaue Programmierung jedoch versehentlich auch die übergeordneten Root-Zertifikate.
Wurden auf euren Systemen ebenfalls legitime Zertifikate durch den Defender gelöscht? Teilt eure Erfahrungen mit dem fehlerhaften Update gerne mit uns in den Kommentaren.
Siehe auch:
Fehlalarm nach Defender-Update
Der Microsoft Defender erhält regelmäßige Aktualisierungen. Zuletzt gab es eine neue Version für Windows-ISO-Dateien. Wie bei Windows-Updates auch, kommt es infolge der Installation aber gelegentlich zu Problemen. Ende April veröffentlichte Microsoft ein reguläres Signatur-Update für sein Antivirenprogramm, das jetzt für Schwierigkeiten sorgt.Nach der Aktualisierung begann der Microsoft Defender plötzlich damit, legitime Root-Zertifikate des Anbieters DigiCert als akute Bedrohung zu markieren. Die Software stufte die harmlosen Dateien als Trojaner ein und entfernte sie umgehend aus dem Zertifikatsspeicher des Betriebssystems. Das führte zu massiven Störungen.
Microsoft liefert Fehlerbehebung
Die Warnmeldung der Software bezog sich auf eine angebliche Infektion mit der Schadsoftware Trojan:Win32/Cerdigent.A!dha. Das unerwartete Verhalten sorgte weltweit für große Verunsicherung bei Systemadministratoren und Endanwendern. Da aufgrund der Löschung wichtige Zertifikate für verschlüsselte Verbindungen fehlten, funktionierten viele Webseiten und Anwendungen nicht mehr korrekt. Aus Sorge vor einer tatsächlichen Kompromittierung entschieden sich einige Betroffene sogar dazu, ihr Betriebssystem komplett neu zu installieren.Wie Bleeping Computer berichtet, hat Microsoft den Fehler bestätigt und bereits korrigiert. Mit dem Security-Intelligence-Update auf Version 1.449.430.0 passten die Entwickler die Erkennungslogik an. Die Aktualisierung verhindert künftige Fehlalarme und stellt zudem die gelöschten Zertifikate automatisch wieder her. Wenn das nicht klappt, können Nutzer den Vorgang über die Windows-Sicherheitseinstellungen manuell anstoßen.
Sicherheitslücke als Auslöser
Die Ursache für das fehlerhafte Update liegt in einem realen Sicherheitsvorfall bei DigiCert. Angreifer hatten im Vorfeld gezielt Support-Mitarbeiter des Unternehmens attackiert. Über eine Phishing-E-Mail, die eine als Bild getarnte ZIP-Datei enthielt, drangen die Kriminellen in den Computer eines Angestellten ein. Von dort aus erlangten sie Zugriff auf interne Systeme.Durch den Zugang konnten die Hacker sogenannte Initialisierungscodes auslesen. In Kombination mit bereits genehmigten, aber noch nicht ausgelieferten Bestellungen erstellten sie sich selbst gültige Code-Signing-Zertifikate. Sie waren auf namenhafte Hardware-Hersteller wie Lenovo, Kingston oder Palit Microsystems ausgestellt.
Mit den gestohlenen Zertifikaten signierten die Täter anschließend die Schadsoftware Zhong Stealer, die vorwiegend über Cloud-Dienste verbreitet wird. Der Stealer entwendet Passwörter und Sitzungsdaten aus Browsern. Microsoft wollte seine Nutzer durch das erste Update genau vor der Bedrohung schützen. Das blockierte die Malware zwar sofort, betraf durch die ungenaue Programmierung jedoch versehentlich auch die übergeordneten Root-Zertifikate.
Schnelles aber unpräzises Sicherheitsupdate
Um weiteren Schaden abzuwenden, hat DigiCert inzwischen reagiert und alle 60 kompromittierten Zertifikate umgehend widerrufen. Der Vorfall verdeutlicht die komplexe Abhängigkeit der IT-Welt von wenigen großen Zertifizierungsstellen. Die Gestohlenen Code-Signing-Zertifikate wurden von Kriminellen genutzt, um Malware als vertrauenswürdig erscheinen zu lassen - ein Problem, das immer wieder auftritt. Auch Microsofts Verfahren zur Software-Signierung steht dabei regelmäßig im Fokus der Sicherheitsdiskussion. Die schnelle, aber fehlerhafte Reaktion von Microsoft zeigt zudem die Schwierigkeit, schädliche Software präzise von legitimen Systemkomponenten zu trennen.Wurden auf euren Systemen ebenfalls legitime Zertifikate durch den Defender gelöscht? Teilt eure Erfahrungen mit dem fehlerhaften Update gerne mit uns in den Kommentaren.
Zusammenfassung
- Microsoft Defender löschte DigiCert-Zertifikate nach fehlerhaftem Update
- Fehlalarm betraf Root-Zertifikate und legte verschlüsselte Verbindungen lahm
- Microsoft korrigierte das Problem mit Security-Update Version 1449430.0
- Die Fehlerkennung basierte auf einem früheren DigiCert-Sicherheitsvorfall
- Angreifer nutzten Phishing-E-Mails mit getarnten ZIP-Dateien für den Zugang
- Hacker erstellten gültige Code-Signing-Zertifikate für Hersteller wie Lenovo
- DigiCert hat alle 60 kompromittierten Zertifikate umgehend widerrufen
Siehe auch:
- Windows-Sperre für VeraCrypt: Entwickler verliert Microsoft-Konto
- Microsoft Defender-Update: Neue Version für Windows-ISO-Dateien
- Microsoft Defender: Wichtiges Update für Windows-ISO-Dateien
- Kaspersky droht BSI: Streit um Warnung vor Software eskaliert
- Windows 11: Microsoft steigert mit Hardware-BitLocker die Leistung
Thema:
Neue Downloads zum Thema
Videos zum Thema
-
Super Bowl 2024: CrowdStrike sorgt im Wilden Westen für Sicherheit
-
Netflix zeigt Doku über John McAfees irre Flucht und wildes Leben
-
Geht immer noch: So kann sich Malware per E-Mail einschleichen
-
Windows 10: Manuelle Konfiguration vom Defender ausgebremst
-
LibreOffice: So schnell kann ein Makrovirus ins System durchschlagen
Beiträge aus dem Forum
Beliebt im Preisvergleich
- Antivirus:
Weiterführende Links
Neue Nachrichten
- Großer Juni-Sale: Media Markt und Saturn senken massiv die Preise
- Strenge Abgasnormen: Hardware-Update macht Dieselmotoren sauberer
- Metas neues KI-Team ist ein "seelenzerstörender Gulag", so Insider
- Linux 7.1 ist da: Neues bei NTFS & CPU-Support, Aus für alte Hardware
- Toller Streaming-Deal: 60 Prozent Rabatt auf Waipu.tv und Sky WOW
- Überraschendes Comeback: Intel plant offenbar neue Raptor-Lake-CPUs
- KI-Modell Fable 5: China-Spionage war wohl der Grund für die Sperre
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon