Microsoft Defender Vals Alarms: DigiCert Certificaten Onterecht Herkend als Malware

Microsoft Defender heeft per ongeluk geldige DigiCert rootcertificaten als Trojaans paard aangemerkt, met als gevolg dat er wereldwijd onterechte alarmen afgaan. Dit heeft er in sommige gevallen toe geleid dat certificaten van Windows werden verwijderd.

Volgens cybersecurity-expert Florian Roth ontstond het probleem nadat Microsoft op 30 april nieuwe detectieregels aan een Defender-update had toegevoegd. Sindsdien melden beheerders wereldwijd dat DigiCert rootcertificaten als malware worden aangemerkt en soms zelfs verwijderd uit de Windows-vertrouwensomgeving.

Een Reddit-gebruiker noemt deze specifieke certificaten die getroffen zijn:

• 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
• DDFB16CD4931C973A2037D3FC83A4D7D775D05E4

Op getroffen systemen zijn deze certificaten uit de AuthRoot store onder de volgende registersleutel verwijderd:

HKLMSOFTWAREMicrosoftSystemCertificatesAuthRootCertificates

Deze fout heeft tot bezorgdheid onder Windows-gebruikers geleid, met sommigen die dachten dat hun apparaten geïnfecteerd waren en hun besturingssysteem opnieuw installeerden voor de zekerheid.

Oplossing en Update

Microsoft heeft inmiddels de fout opgelost in Security Intelligence update versie 1.449.430.0, en de nieuwste update is nu 1.449.431.0. Andere meldingen op Reddit geven aan dat de update ook eerder verwijderde certificaten op de getroffen systemen herstelt.

Microsoft Defender-updates worden automatisch geïnstalleerd, maar Windows-gebruikers kunnen handmatig een update forceren door naar Windows-beveiliging > Bescherming tegen virussen en bedreigingen > Beschermingsupdates te gaan en op Controleren op updates te klikken.

Mogelijke Link met DigiCert Beveiligingsincident

De valse meldingen komen kort na een beveiligingsincident bij DigiCert, waarbij cybercriminelen geldige code-signing certificaten konden verkrijgen om malware te ondertekenen.

Volgens DigiCert vond een aanval plaats op een medewerker van hun klantenservice, waardoor aanvallers in staat waren initialisatiecodes voor een beperkt aantal code-signing certificaten te bemachtigen, waarvan er enkele werden gebruikt om malware te ondertekenen. Alle betrokken certificaten werden binnen 24 uur na ontdekking ingetrokken.

Aanvallers maakten gebruik van toegang tot het interne supportportaal van DigiCert, waardoor ze informatie over klantaccounts konden vinden. Hierdoor konden ze "initialisatiecodes" bemachtigen voor eerder goedgekeurde, maar niet-uitgeleverde EV-codecertificaten.

Zhong Stealer Malware Campagne

Onderzoekers meldden eerder dat nieuwe DigiCert EV-certificaten werden gebruikt in malwarecampagnes, namelijk de "Zhong Stealer". Deze malware verspreidt zich via phishing-e-mails die een nepafbeelding of screenshot bevatten en een tweede schadelijke payload van cloudopslag zoals AWS ophalen.

Hoewel Microsoft niet heeft bevestigd dat de Defender-detecties het gevolg zijn van het DigiCert-incident, wijst de timing en focus op DigiCert-certificaten op een mogelijke verband.

BleepingComputer heeft Microsoft om opheldering gevraagd over deze situatie.

---

Dit nieuws is van belang voor iedereen die werkt met Microsoft Defender, aangezien een softwarebeveiligingshulpmiddel als Defender normaal gesproken de eerste lijn van verdediging vormt tegen bedreigingen. Zorg ervoor dat u op de hoogte blijft van de laatste updates en patches voor uw beveiligingssoftware om problemen zoals deze te vermijden.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.