近日,全球范围内大量运行 Windows 10、Windows 11 及 Windows Server 操作系统的用户,遭遇了由系统自带的 Microsoft Defender 安全软件发出的密集高危木马威胁警报。此次事件涉及的威胁标识为 Trojan:Win32/Cerdigent.A!dha,其广泛误报范围引发了用户恐慌。
微软方面已确认此次大规模安全警报事件是一场误报,并就此给全球用户造成的困扰与恐慌致以歉意。据了解,事件的根本原因与安全证书颁发机构 DigiCert 的一次密钥泄露事件有关,该事件直接导致微软的安全防护机制出现了过度敏感的判定逻辑。
此前,DigiCert 的一名支持分析师设备遭遇黑客入侵,攻击者从中窃取了部分客户的代码签名证书私钥。不法分子利用这些被盗私钥,为多款恶意木马程序添加了看似合法的数字证书,试图以此规避安全检测。为了及时阻断潜在的风险扩散,DigiCert 在四月中旬紧急吊销了约 60 张受此次事件影响的相关证书。
在此背景下,微软的安全软件将与这些被吊销证书关联的软件特征,错误地定义为 Trojan:Win32/Cerdigent.A!dha 木马威胁。然而,问题在于,许多合法的软件开发商在过去数年间,一直使用这些证书为旗下程序进行数字签名。一旦证书被吊销,全球用户设备中存留的旧版本合法程序,均被 Defender 判定为木马,甚至有反馈指出,部分与 DigiCert 完全无关的证书,以及 Windows 系统自身的根证书,也遭到了错误标记、隔离或删除。
此次安全警报的误报程度相当严重,甚至有用户反馈,即便安装微软官方纯净版系统 ISO,在更新病毒库后也会触发相关的木马警报。这凸显了在依赖数字证书进行安全验证时,一旦证书信任链出现问题,对整个生态系统的潜在冲击。尤其是在软件分发日益全球化和碎片化的今天,任何一个环节的信任危机都可能引发连锁反应,给用户带来不必要的恐慌和困扰。
为了迅速纠正这一错误,微软已通过安全情报更新版本 1.449.430.0 解决了此次误报问题。用户可以通过进入系统“Windows 安全性”中心,依次打开“病毒与威胁防护”>“保护更新”页面,点击“检查更新”来手动完成病毒库升级,从而修复相关问题。
此次事件也再次提醒了安全厂商在处理证书吊销等敏感安全事件时,需要更加精细化的策略和更周全的预案。单纯依赖证书吊销作为病毒判定的唯一或主要依据,在复杂多变的数字签名生态中,极易引发大规模误报。未来,安全软件在更新病毒库时,如何在快速响应威胁的同时,最大限度地降低对合法软件和系统正常运行的影响,将是值得持续关注和改进的重要课题。
微软官方此次迅速的回应和修复更新,虽然一定程度上缓解了用户恐慌,但也暴露出在处理第三方安全事件与自身安全防护机制联动时的潜在风险。如何在保障系统安全性的同时,保持高度的灵活性和准确性,避免“以偏概全”的误判,是所有安全软件开发者面临的长期挑战。
本次事件虽然以误报告终,但其背后暴露出的证书信任体系脆弱性以及安全软件的误报机制问题,值得业界深思。如何在快速迭代的软件环境中,构建更 robust 的信任机制,并提升安全软件的精准判断能力,将是保障用户数字安全的关键。