Microsoft Defender slučajno označio DigiCert sertifikate kao malver - hitna ispravka objavljena
Microsoft Defender automatski je označio važne DigiCert sertifikate kao malver, ali je brzo objavljena ispravka.
Šta se desilo?
Microsoft Defender je izazvao masivnu lažnu pozitivnu upozorenja nakon što je neispravna sigurnosna ažuriranja izdata oko 30. aprila 2026. godine pogrešno označila dva legitimna DigiCert root sertifikata kao maliciozne pretnje. Antimalver potpis sa oznakom Trojan:Win32/Cerdigent.A!dha identifikovao je registry unose DigiCert Assured ID Root CA i DigiCert Trusted Root G4 kao visokoozbiljne pretnje, što je dovelo do automatskog uklanjanja ovih sertifikata iz Windows skladišta poverenja na zahvaćenim sistemima.
Koga pogađa?
Problem utiče na enterprise okruženja širom sveta, posebno na organizacije koje koriste DigiCert potpisane softvere ili oslanjaju se na HTTPS konekcije. Administratori korporativnih mreža, pružaoci servisa i krajnji korisnici sa instaliranim Microsoft Defenderom bili su potencijalno izloženi riziku od prekida SSL/TLS validacije i neuspešne verifikacije digitalnih potpisa.
Kako se zaštititi?
- Ažurirajte Microsoft Defender na verziju .430 ili noviju koja sadrži ispravku za lažnu pozitivu
- Koristite certutil komandu da proverite da li su DigiCert sertifikati prisutni: certutil -store AuthRoot | findstr -i "digicert"
- Proverite Advanced Hunting logove u Microsoft Defender for Endpoint radi potvrde da su sertifikati vraćeni na svoje mesto
- Ako imate ograničene polise ažuriranja, ručno verifikujte i restaurujte sertifikate ako je potrebno
- Pratite Microsoft forume i zvanične kanale za informacije o statusu remedijeranja
Tehnički detalji
Zahvaćeni sertifikati su DigiCert Assured ID Root CA (otisak: 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43) i DigiCert Trusted Root G4 (otisak: DDFB16CD4931C973A2037D3FC83A4D7D775D05E4). Sertifikati se nalaze u Windows skladištu poverenja na putanji HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates. Pogrešna detekcija je klasifikovana kao Trojan:Win32/Cerdigent.A!dha. Sigurnosni istraživač Florian Roth javno je identifikovao problem i objaviom Advanced Hunting upit za proveru stanja na zahvaćenim sistemima.
Preporuka Sajber Radara
Preporučujemo svim organizacijama da hitno ažuriraju Microsoft Defender na najnoviju verziju sa ispravkom i da proveravaju prisustvo DigiCert sertifikata u своме okruženju. Ovaj incident pokazuje važnost rigorozne kontrole kvaliteta pri izdavanju sigurnosnih ažuriranja, posebno onih koja se tiču kritiličnih komponenti kao što je skladište poverenja za root sertifikate.
