Microsoft Defender markeert DigiCert-certificaten als malware

Een defecte Microsoft Defender handtekeningupdate zorgde ervoor dat vertrouwde DigiCert rootcertificaten als malware werden gemarkeerd en van Windows-systemen werden verwijderd.

Een defecte handtekeningupdate van Defender markeerde twee vertrouwde DigiCert rootcertificaten als malware en verwijderde ze wereldwijd van Windows-systemen.

Darryl Linington (vertaald door DeepL / Ninh Duy), Gepubliceerd 07-05-2026 🇺🇸 🇩🇪 ...

Microsoft Defender heeft vorige week twee van de meest vertrouwde root-certificaten op het internet als malware gemarkeerd, wat wijdverspreide verstoringen veroorzaakte in Windows-omgevingen van bedrijven. De fout-positieve melding begon op 30 april, toen een update van de Defender-handtekeningen een detectie introduceerde met het label Trojan:Win32/Cerdigent.A!dha. In plaats van malware te detecteren, werden de cryptografische hashes van twee DigiCert-rootcertificaten die op vrijwel elke Windows-machine aanwezig zijn, onjuist gematcht.

De getroffen certificaten zijn DigiCert Assured ID Root CA, duimafdruk 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43, en DigiCert Trusted Root G4, duimafdruk DDFB16CD4931C973A2037D3FC83A4D7D775D05E4. Beide staan al jaren in de vertrouwenswinkel van Windows en worden gebruikt om SSL/TLS-verbindingen, codeondertekeningsbewerkingen en API-oproepen te valideren op miljoenen bedrijfs- en consumentensystemen. Toen Defender ze in quarantaine plaatste, braken die validatieketens. Sommige beheerders waren uren bezig met het diagnosticeren van servicestoringen voordat ze de oorzaak konden achterhalen. Anderen, die een Trojaanse detectie in hun beveiligingsconsole zagen verschijnen, installeerden hun besturingssysteem helemaal opnieuw.

Wat veroorzaakte het?

De fout-positieve detectie houdt verband met een echt incident bij DigiCert. Begin april gebruikten aanvallers een kwaadaardig ZIP-bestand, vermomd als een schermafbeelding van een klant, om twee eindpunten van het ondersteuningsteam van het bedrijf te compromitteren, waarbij ze misbruik maakten van een verkeerd geconfigureerde EDR-implementatie op één machine die de oorspronkelijke levering niet had opgemerkt. De aanvallers kregen toegang tot het interne ondersteuningsportaal van DigiCert en verkregen initialisatiecodes voor een beperkt aantal EV-certificaten. DigiCert heeft binnen 24 uur 60 certificaten geïdentificeerd en ingetrokken, waaronder de certificaten die verband hielden met de Zhong Stealer malwarecampagne.

Microsoft kwam snel in actie om Defender-detecties te pushen om klanten te beschermen tegen malware die was ondertekend met de gecompromitteerde certificaten. De gebruikte detectielogica was te breed. De legitieme DigiCert root CA's werden gedetecteerd naast de ingetrokken codeondertekeningscertificaten, waardoor quarantaineacties werden geactiveerd op Windows-systemen die niets verkeerd hadden gedaan. "Eerder vandaag hebben we vastgesteld dat er ten onrechte vals-positieve waarschuwingen werden geactiveerd en hebben we de waarschuwingslogica bijgewerkt," vertelde Microsoft aan BleepingComputer. De fix werd geleverd in Security Intelligence update 1.449.430.0. Van systemen die de update toepasten, werden de certificaten automatisch hersteld. Admins in omgevingen met een beperkt updatebeleid moesten het herstel handmatig verifiëren met certutil -store AuthRoot | findstr -i "digicert".

Wat te doen als u nog steeds last hebt van de update

Sommige gebruikers meldden dat ze nog steeds de Trojan:Win32/Cerdigent.A!dha waarschuwing op definitieversie 1.449.446.0, wat erop wijst dat de fix niet volledig is doorgevoerd via alle paden voor het afleveren van definities. De aanbeveling van Microsoft is om Defender bij te werken naar de laatste beschikbare versie van Security Intelligence via Instellingen, dan Windows Beveiliging, dan Virus- en Bedreigingsbeveiliging en dan Protection Updates. Het uitvoeren van Windows Update en het opnieuw opstarten van de machine zou het herstel van de in quarantaine geplaatste certificaten moeten voltooien. DigiCert heeft op zijn blog bevestigd dat certificaten die ten onrechte door Defender zijn verwijderd, automatisch worden hersteld zodra de update is toegepast en dat er geen bredere compromittering van klantcertificaten, accounts of systemen heeft plaatsgevonden.

Dit is de zoveelste belangrijke verstoring door Microsoft-updates in april en mei, na de KB5083769 boot loop probleem op HP en Dell machines, de force-upgrade push naar Windows 11 25H2, en dezelfde update die back-up tools van Acronis en Macrium kapot maakt. Notebookcheck heeft de KB5083769 situatie.