Egy súlyos hibás működés a Microsoft Defender rendszerben világszintű problémákat okozott, miután a szoftver megbízható digitális tanúsítványokat rosszindulatúként azonosított.
👉 Az érintett tanúsítványok a DigiCert által kiadott root certificate-ek voltak
Mi történt pontosan?
- április 30-án egy frissítés után:
- Defender riasztásokat adott
- Trojan:Win32/Cerdigent.A!dha néven
- legitim tanúsítványokra
👉 sőt:
automatikusan törölte őket a rendszerből
Miért kritikus ez?
A törölt tanúsítványok:
- a Windows trust store részei
- biztonságos kommunikáció alapjai
👉 eltávolításuk:
- HTTPS kapcsolatok hibája
- alkalmazások nem indulnak
- aláírás ellenőrzések megszakadnak
Hol történt a törlés?
A registry-ben:
HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\👉 ez a rendszer egyik legkritikusabb bizalmi tárolója
Felhasználói reakciók
A hiba hatása:
- pánik a felhasználók között
- téves malware fertőzés gyanú
- teljes rendszer újratelepítések
👉 vállalatoknál:
- szolgáltatás kiesések
- compliance problémák
Mely tanúsítványok érintettek?
Két ismert thumbprint:
- 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
- DDFB16CD4931C973A2037D3FC83A4D7D775D05E4
👉 mindkettő legitim volt
Microsoft reakciója
A Microsoft gyorsan reagált:
Javítás:
- Security Intelligence 1.449.430.0
- majd 1.449.431.0
👉 ezek:
- megszüntetik a hibás detektálást
- visszaállítják a tanúsítványokat
Lehetséges kapcsolat egy másik incidenssel
Az időzítés egybeesik egy:
👉 DigiCert elleni támadással
A támadás során:
- support rendszert törtek fel
- certificate kiadási folyamatot használták ki
- 60 tanúsítványt visszavontak
👉 ebből 27-et malware aláírására használtak
Malware kampány háttérben
Kapcsolódó fenyegetés:
👉 „Zhong Stealer”
Jellemzők:
- RAT funkciók
- felhőből letöltött payload
- legitim aláírás használata
Feltételezett csoport:
👉 GoldenEyeDog (APT-Q-27)
Fontos különbség
👉 Defender hiba ≠ DigiCert támadás
- Defender: root certificate-ek
- DigiCert: code-signing certificate-ek
👉 nincs bizonyított közvetlen kapcsolat
Mi okozhatta a hibát?
Valószínű ok:
- túl agresszív detektálás
- hibás heurisztika
- frissítés utáni mellékhatás
👉 klasszikus „false positive” incidens
Mit kell tenni?
🔴 Azonnali:
- Defender frissítés ellenőrzése
- (1.449.431.0 vagy újabb)
🟡 Ellenőrzés:
- tanúsítványok megléte
- trust store állapota
- hibás törlések
🟢 Vállalati környezet:
- tanúsítvány visszaállítás
- rendszerek auditja
- logok átnézése
Nagyobb tanulság
Ez az eset megmutatja:
👉 a védelem is okozhat kockázatot
👉 automatizált rendszerek hibái globális hatásúak lehetnek
👉 a bizalom (trust) infrastruktúra kritikus pont
Összegzés
A Microsoft Defender hibája:
- legitim tanúsítványokat törölt
- globális zavarokat okozott
- gyorsan javításra került
👉 de rámutat:
a biztonsági rendszerek is hibázhatnak.





