微软 Defender 将 DigiCert 证书标记为恶意软件

上周，微软 Defender 将互联网上最值得信赖的两个根证书标记为恶意软件，导致企业 Windows 环境受到广泛破坏。误报始于 4 月 30 日，当时 Defender 的签名更新引入了一个名为 Trojan:Win32/Cerdigent.A!dha 的检测。它没有捕获恶意软件，而是错误地匹配了两个 DigiCert 根证书的加密哈希值，这两个证书目前几乎存在于每台使用中的 Windows 机器上。

受影响的证书是DigiCert AssuredID Root CA，缩略图为 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43，以及 DigiCert Trusted Root G4，缩略图为 DDFB16CD4931C973A2037D3FC83A4D7D775D05E4。这两款产品在 Windows 信任存储中已存在多年，用于验证 SSL/TLS 连接、代码签名操作以及数百万企业和消费者系统的 API 调用。当 Defender 对它们进行隔离时，这些验证链就断开了。一些管理员花了几个小时诊断服务故障，才找出原因。还有一些管理员看到安全控制台中出现了木马检测，于是完全重新安装了操作系统。

造成误报的原因

误报与 DigiCert 的一起真实事件有关。4 月初，攻击者利用伪装成客户截图的恶意 ZIP 文件入侵了该公司的两个支持团队端点，利用的是一台机器上错误配置的 EDR 部署，该机器未能捕捉到初始传输。攻击者访问了 DigiCert 的内部支持门户，获得了数量有限的 EV 代码签名证书的初始化代码。DigiCert 在 24 小时内识别并撤销了 60 份证书，其中包括与 Zhong Stealer 恶意软件活动相关的证书。

微软迅速采取行动，推动 Defender 检测，以保护客户免受使用受损证书签名的恶意软件的攻击。微软部署的检测逻辑过于宽泛。它捕获了合法的 DigiCert 根 CA 和被撤销的代码签名证书，触发了对没有做错任何事的 Windows 系统的隔离行动。"今天早些时候，我们确定错误触发了假阳性警报，并更新了警报逻辑，"微软告诉 BleepingComputer。该修复在安全智能更新 1.449.430.0 中发布。应用该更新的系统会自动恢复证书。在更新策略受限的环境中，管理员必须使用certutil -store AuthRoot| findstr -i "digicert "手动验证恢复。

如果仍受影响该怎么办

一些用户报告说，他们仍然看到Trojan:Win32/Cerdigent.A!dha警报，这表明修复并没有在所有定义交付路径中完全传播。微软建议通过 "设置"、"Windows 安全"、"病毒和威胁防护"、"防护更新 "将 Defender 更新到最新可用的安全智能版本。运行 Windows 更新并重新启动计算机后，被隔离的证书应该可以恢复。DigiCert 已在其博客上确认，一旦应用更新，被 Defender 错误删除的证书应该会自动恢复，而且不会对客户证书、账户或系统造成更广泛的危害。

这是继 4 月和 5 月的 KB5083769启动循环问题、强制升级到 Windows 11 25H2 以及同一更新破坏 Acronis 和 Macrium 的第三方备份工具。Notebookcheck 已经报道了 KB5083769情况。