Pembaruan definisi Microsoft Defender sempat membuat sertifikat root DigiCert yang sah ikut ditandai sebagai ancaman, lalu dikarantina di sejumlah perangkat Windows perusahaan. Dampaknya cukup besar karena sertifikat itu dipakai untuk fondasi validasi koneksi dan tanda tangan digital di banyak sistem.
Masalah ini muncul setelah pembaruan signature Defender pada 30 April memperkenalkan deteksi Trojan:Win32/Cerdigent.A!dha. Deteksi tersebut ternyata bukan mengarah ke malware baru, melainkan dipicu oleh kecocokan hash kriptografis yang keliru pada sertifikat akar yang sudah dipercaya luas di ekosistem Windows.
Dua sertifikat yang terkena dampak adalah DigiCert Assured ID Root CA dengan thumbprint 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 serta DigiCert Trusted Root G4 dengan thumbprint DDFB16CD4931C973A2037D3FC83A4D7D775D05E4. Keduanya sudah lama berada di trust store Windows dan digunakan untuk memvalidasi SSL/TLS, code-signing, serta panggilan API.
Saat Defender mengarantina sertifikat tersebut, rantai validasi ikut terputus. Di lingkungan perusahaan, kondisi ini bisa membuat layanan tampak bermasalah secara luas, sementara administrator harus melacak sumber gangguan yang pada awalnya terlihat seperti insiden keamanan besar.
Sebagian administrator menghabiskan waktu berjam-jam untuk mencari penyebab layanan yang gagal. Ada juga yang memilih memasang ulang sistem operasi setelah melihat peringatan Trojan muncul di konsol keamanan.
Gangguan ini berawal dari upaya Microsoft memperluas deteksi untuk melindungi pelanggan dari malware yang ditandatangani menggunakan sertifikat yang sudah dikompromikan. Namun, logika deteksi yang dipakai terlalu luas sehingga root CA DigiCert yang sah ikut terseret.
Latar belakangnya berkaitan dengan insiden nyata di DigiCert pada awal April. Dalam peristiwa itu, penyerang memakai file ZIP berbahaya yang disamarkan sebagai tangkapan layar pelanggan untuk menembus dua endpoint tim dukungan perusahaan.
Serangan tersebut memanfaatkan deployment EDR yang salah konfigurasi pada salah satu mesin dan tidak berhasil dihentikan pada tahap awal. Setelah berhasil masuk, penyerang mengakses portal dukungan internal DigiCert dan memperoleh initialization codes untuk sejumlah terbatas sertifikat EV code-signing.
DigiCert kemudian mencabut 60 sertifikat dalam waktu 24 jam. Di antara sertifikat yang dicabut itu terdapat sertifikat yang terkait dengan kampanye malware Zhong Stealer.
Microsoft kemudian menyatakan kepada BleepingComputer bahwa alert tersebut sudah ditetapkan sebagai false positive. Perusahaan juga memperbarui logika alert dan merilis perbaikan melalui Security Intelligence update 1.449.430.0.
Perangkat yang menerima pembaruan itu otomatis mendapat pemulihan sertifikat. Untuk lingkungan dengan kebijakan pembaruan terbatas, administrator perlu memeriksa restorasi secara manual dengan perintah certutil -store AuthRoot | findstr -i “digicert”.
Meski perbaikan sudah tersedia, sejumlah pengguna masih melaporkan alert Trojan:Win32/Cerdigent.A!dha pada definition version 1.449.446.0. Ini menunjukkan pemulihan belum sepenuhnya menyebar ke semua jalur distribusi definisi.
Microsoft menyarankan pembaruan Defender ke Security Intelligence versi terbaru melalui Settings, lalu Windows Security, Virus and Threat Protection, dan Protection Updates. Menjalankan Windows Update dan melakukan restart juga disebut dapat membantu menyelesaikan pemulihan sertifikat yang sempat dikarantina.
DigiCert juga menegaskan di blog resminya bahwa sertifikat yang salah dihapus Defender akan pulih otomatis setelah pembaruan diterapkan. Perusahaan itu menyatakan tidak ada kompromi yang lebih luas terhadap sertifikat pelanggan, akun, atau sistem.
Kasus ini menambah daftar masalah pembaruan Microsoft pada April dan Mei. Pada periode yang sama, muncul isu boot loop KB5083769 di mesin HP dan Dell, dorongan upgrade paksa ke Windows 11 25H2, serta pembaruan yang merusak alat backup pihak ketiga dari Acronis dan Macrium.
Bagi administrator Windows, insiden ini menjadi pengingat bahwa pembaruan keamanan yang terlalu agresif bisa memicu gangguan operasional. Satu deteksi yang salah saja dapat memutus validasi sistem inti dan membuat banyak perangkat terlihat seolah sedang mengalami kompromi besar.