Microsoft Defender warnt vor der Trojaner-Malware "Cerdigent" auf Windows 11- und Server-PCs weltweit
Defender meldet "Cerdigent"-Warnungen unter Windows, die mit dem DigiCert-Hack in Verbindung stehen und den Missbrauch legitimer Zertifikate zur Codesignierung beinhalten.
Eine Welle aktueller Warnungen von Microsoft Defender, die eine als "Cerdigent" bezeichnete Bedrohung auf Windows-Systemen identifizieren, zieht die Aufmerksamkeit von Nutzern und Sicherheitsforschern weltweit auf sich. Erste Hinweise deuten darauf hin, dass die Erkennungen eher mit dem Missbrauch falsch ausgestellter digitaler Zertifikate als mit einer echten Malware-Kampagne zusammenhängen könnten.
Laut einem Bericht im Bugzilla-Tracking-System von Mozilla liegt die Ursache des Problems in einem Sicherheitsvorfall bei der Zertifizierungsstelle DigiCert. Der Bericht deutet darauf hin, dass ein Angreifer begrenzten Zugriff auf die internen Support-Systeme von DigiCert erlangte, nachdem er den Rechner eines Support-Analysten kompromittiert hatte. Dieser Zugriff ermöglichte es dem Angreifer, Initialisierungscodes für "eine begrenzte Anzahl von Code-Signing-Zertifikaten" zu erhalten.
Diese Codes reichten in Kombination mit autorisierten Bestellungen aus, um legitime Code-Signing-Zertifikate zu generieren, die zum Signieren von Software verwendet wurden, sodass diese für Betriebssysteme wie Windows und Antivirenprodukte wie Defender vertrauenswürdig erschien.
DigiCert untersuchte den Vorfall, identifizierte 60 Zertifikate und widerrief diese, da sie von der Zhong-Stealer-Malware verwendet wurden. In seinem vollständigen Vorfallsbericht auf Bugzilla erklärte DigiCert: "Im Rahmen unserer Untersuchung zwischen dem 14.04.2026 und dem 17.04.2026 haben wir Zertifikate, die potenziell von den Handlungen des Angreifers betroffen waren, widerrufen, sobald DigiCert diese identifiziert hatte".
DigiCert widerrief 60 Zertifikate, die von den folgenden Zertifizierungsstellen ausgestellt wurden:
- DigiCert Trusted G4 Code Signing RSA4096 SHA256 2021 CA1
- DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
- GoGetSSL G4 CS RSA4096 SHA256 2022 CA-1
- Verokey High Assurance Secure Code EV
27 der widerrufenen Zertifikate standen in eindeutigem Zusammenhang mit dem Angreifer (11 wurden in Zertifikatsproblemmeldungen identifiziert, die DigiCert von Community-Mitgliedern übermittelt wurden und die Zertifikate mit Malware in Verbindung brachten, und 16 wurden im Rahmen unserer eigenen Untersuchung identifiziert). ... Zusätzlich zu den oben genannten 27 wurden 33 der insgesamt 60 Zertifikate im Rahmen unserer eigenen Untersuchung als Vorsichtsmaßnahme widerrufen. ... Es wurde festgestellt, dass die von dem Community-Mitglied identifizierten missbrauchten Zertifikate zur Signierung der Malware-Familie "Zhong Stealer" verwendet wurden.
Die derzeit verfügbaren Informationen deuten also darauf hin, dass viele Cerdigent-Warnungen möglicherweise keine aktive Infektion anzeigen, sondern einen Fehlalarm darstellen. Microsofts eigene Bedrohungsdatenbank sagt dazu nicht viel, außer dass "Cerdigent.A!dha eine Reihe von Aktionen nach Wahl eines böswilligen Akteurs auf Ihrem Gerät ausführen kann".
Da Code-Signing-Zertifikate eine Schlüsselrolle im Vertrauensmodell moderner Betriebssysteme spielen, können sie bei einer Kompromittierung die Grenze zwischen legitimer und bösartiger Software verwischen. Wenn Sie auf solche Warnungen stoßen, sollten Sie die Updates von Sicherheitsanbietern im Auge behalten, da bei weit verbreiteten Fehlalarmen oft schnell Signaturkorrekturen herausgegeben werden, was hier offenbar auch der Fall ist.
Quelle: Bugzilla@Mozilla