⚠️ Microsoft Defender hiba: legitim DigiCert tanúsítványokat jelölt malware-nek

Microsoft Defender hiba

Egy súlyos hibás működés a Microsoft Defender rendszerben világszintű problémákat okozott, miután a szoftver megbízható digitális tanúsítványokat rosszindulatúként azonosított.

👉 Az érintett tanúsítványok a DigiCert által kiadott root certificate-ek voltak


Mi történt pontosan?

  1. április 30-án egy frissítés után:
  • Defender riasztásokat adott
  • Trojan:Win32/Cerdigent.A!dha néven
  • legitim tanúsítványokra

👉 sőt:

automatikusan törölte őket a rendszerből


Miért kritikus ez?

A törölt tanúsítványok:

  • a Windows trust store részei
  • biztonságos kommunikáció alapjai

👉 eltávolításuk:

  • HTTPS kapcsolatok hibája
  • alkalmazások nem indulnak
  • aláírás ellenőrzések megszakadnak

Hol történt a törlés?

A registry-ben:

HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\

👉 ez a rendszer egyik legkritikusabb bizalmi tárolója


Felhasználói reakciók

A hiba hatása:

  • pánik a felhasználók között
  • téves malware fertőzés gyanú
  • teljes rendszer újratelepítések

👉 vállalatoknál:

  • szolgáltatás kiesések
  • compliance problémák

Mely tanúsítványok érintettek?

Két ismert thumbprint:

  • 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
  • DDFB16CD4931C973A2037D3FC83A4D7D775D05E4

👉 mindkettő legitim volt


Microsoft reakciója

A Microsoft gyorsan reagált:

Javítás:
  • Security Intelligence 1.449.430.0
  • majd 1.449.431.0

👉 ezek:

  • megszüntetik a hibás detektálást
  • visszaállítják a tanúsítványokat

Lehetséges kapcsolat egy másik incidenssel

Az időzítés egybeesik egy:

👉 DigiCert elleni támadással

A támadás során:

  • support rendszert törtek fel
  • certificate kiadási folyamatot használták ki
  • 60 tanúsítványt visszavontak

👉 ebből 27-et malware aláírására használtak


Malware kampány háttérben

Kapcsolódó fenyegetés:

👉 „Zhong Stealer”

Jellemzők:

  • RAT funkciók
  • felhőből letöltött payload
  • legitim aláírás használata

Feltételezett csoport:

👉 GoldenEyeDog (APT-Q-27)


Fontos különbség

👉 Defender hiba ≠ DigiCert támadás

  • Defender: root certificate-ek
  • DigiCert: code-signing certificate-ek

👉 nincs bizonyított közvetlen kapcsolat


Mi okozhatta a hibát?

Valószínű ok:

  • túl agresszív detektálás
  • hibás heurisztika
  • frissítés utáni mellékhatás

👉 klasszikus „false positive” incidens


Mit kell tenni?

🔴 Azonnali:
  • Defender frissítés ellenőrzése
  • (1.449.431.0 vagy újabb)

🟡 Ellenőrzés:
  • tanúsítványok megléte
  • trust store állapota
  • hibás törlések

🟢 Vállalati környezet:
  • tanúsítvány visszaállítás
  • rendszerek auditja
  • logok átnézése

Nagyobb tanulság

Ez az eset megmutatja:

👉 a védelem is okozhat kockázatot

👉 automatizált rendszerek hibái globális hatásúak lehetnek

👉 a bizalom (trust) infrastruktúra kritikus pont


Összegzés

A Microsoft Defender hibája:

  • legitim tanúsítványokat törölt
  • globális zavarokat okozott
  • gyorsan javításra került

👉 de rámutat:

a biztonsági rendszerek is hibázhatnak.

Az oldal tartalma nem másolható!