Microsoft Defender sempat menandai dua root certificate paling tepercaya di internet sebagai malware dan memicu gangguan luas di lingkungan Windows perusahaan. False positive itu muncul setelah pembaruan signature Defender pada 30 April memperkenalkan deteksi bernama Trojan:Win32/Cerdigent.A!dha.
Masalahnya bukan pada malware baru, melainkan pada kecocokan hash kriptografis yang keliru. Deteksi itu justru mengenai dua root certificate DigiCert yang ada di hampir semua mesin Windows yang digunakan saat ini.
Dua sertifikat penting ikut dikarantina
Sertifikat yang terdampak adalah DigiCert Assured ID Root CA dengan thumbprint 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 dan DigiCert Trusted Root G4 dengan thumbprint DDFB16CD4931C973A2037D3FC83A4D7D775D05E4. Keduanya sudah lama berada di Windows trust store dan dipakai untuk memvalidasi koneksi SSL/TLS, operasi code-signing, serta panggilan API di jutaan sistem perusahaan dan konsumen.
Saat Defender mengarantina sertifikat itu, rantai validasi ikut terputus. Sejumlah administrator menghabiskan waktu berjam-jam untuk mencari sumber gangguan layanan, sementara lainnya memilih memasang ulang sistem operasi setelah melihat deteksi Trojan muncul di konsol keamanan mereka.
Pemicu awal berasal dari insiden DigiCert
False positive ini terkait dengan insiden nyata di DigiCert. Pada awal April, penyerang memakai file ZIP berbahaya yang disamarkan sebagai tangkapan layar pelanggan untuk membobol dua endpoint tim dukungan perusahaan.
Serangan itu memanfaatkan deployment EDR yang salah konfigurasi pada salah satu mesin dan gagal menghentikan pengiriman awal. Setelah masuk, penyerang mengakses portal dukungan internal DigiCert dan memperoleh initialization codes untuk sejumlah terbatas sertifikat EV code-signing.
DigiCert kemudian mengidentifikasi dan mencabut 60 sertifikat dalam waktu 24 jam. Di antaranya terdapat sertifikat yang terkait dengan kampanye malware Zhong Stealer.
Microsoft bergerak cepat, tetapi logikanya terlalu luas
Microsoft kemudian mendorong deteksi Defender untuk melindungi pelanggan dari malware yang ditandatangani dengan sertifikat yang sudah dikompromikan. Namun, logika deteksi yang diterapkan terlalu luas dan ikut menangkap root CA DigiCert yang sah.
Akibatnya, sistem Windows yang tidak melakukan kesalahan justru terkena tindakan karantina. Microsoft mengatakan kepada BleepingComputer bahwa pihaknya sudah menentukan alert false positive dan memperbarui alert logic.
Perbaikan itu hadir lewat Security Intelligence update 1.449.430.0. Sistem yang menerima update itu secara otomatis mendapatkan pemulihan sertifikat, tetapi administrator di lingkungan dengan kebijakan update yang dibatasi harus memeriksa restorasi secara manual memakai perintah certutil -store AuthRoot | findstr -i "digicert".
Sebagian perangkat masih melaporkan alert
Sejumlah pengguna masih melihat alert Trojan:Win32/Cerdigent.A!dha pada definition version 1.449.446.0. Kondisi itu menunjukkan perbaikan belum sepenuhnya menyebar ke semua jalur distribusi definisi.
Rekomendasi Microsoft adalah memperbarui Defender ke Security Intelligence versi terbaru melalui Settings, lalu Windows Security, Virus and Threat Protection, dan Protection Updates. Menjalankan Windows Update dan melakukan restart disebut dapat menyelesaikan pemulihan sertifikat yang dikarantina.
DigiCert juga menegaskan di blog resminya bahwa sertifikat yang salah dihapus Defender akan pulih otomatis setelah update diterapkan. Perusahaan itu menyatakan tidak ada kompromi yang lebih luas terhadap sertifikat pelanggan, akun, atau sistem.
Gangguan ini menambah daftar masalah terkait update Microsoft pada April dan Mei, setelah isu boot loop KB5083769 di mesin HP dan Dell, dorongan upgrade paksa ke Windows 11 25H2, serta pembaruan yang merusak alat backup pihak ketiga dari Acronis dan Macrium. Bagi administrator, insiden ini menjadi pengingat bahwa pembaruan keamanan yang terlalu agresif bisa mengubah perlindungan menjadi sumber gangguan operasional.