Microsoft Defender błędnie usuwał certyfikaty DigiCert z magazynu zaufania Windows

Wprowadzenie do problemu / definicja

Na początku maja 2026 roku administratorzy systemów Windows zaczęli zgłaszać incydent związany z Microsoft Defender. Legalne certyfikaty główne DigiCert były błędnie klasyfikowane jako zagrożenie Trojan:Win32/Cerdigent.A!dha, a w części środowisk fałszywie dodatnia detekcja prowadziła do usunięcia tych wpisów z systemowego magazynu zaufania Windows.

To poważny problem operacyjny, ponieważ magazyn zaufania stanowi fundament działania mechanizmów PKI w systemie operacyjnym, aplikacjach oraz usługach sieciowych. Naruszenie tego elementu może wpływać na walidację podpisów cyfrowych, połączeń TLS i uruchamianie legalnego oprogramowania.

W skrócie

• Microsoft Defender błędnie oznaczał wybrane certyfikaty DigiCert jako malware.
• Problem pojawił się po aktualizacji sygnatur z 30 kwietnia 2026 roku i był szeroko raportowany 3 maja 2026 roku.
• W niektórych przypadkach certyfikaty były usuwane z gałęzi AuthRoot w Windows.
• Microsoft opublikował poprawkę w aktualizacji Security Intelligence 1.449.430.0.
• Nowsza wersja 1.449.431.0 była dostępna jeszcze tego samego dnia.
• Według zgłoszeń po aktualizacji część certyfikatów była automatycznie przywracana.

Kontekst / historia

Incydent zbiegł się w czasie z wcześniejszym problemem bezpieczeństwa po stronie DigiCert. Firma informowała wcześniej, że atakujący uzyskali dostęp do kodów inicjalizacyjnych ograniczonej liczby certyfikatów code signing, a część z nich została wykorzystana do podpisywania złośliwego oprogramowania. W odpowiedzi unieważniono szereg certyfikatów związanych z tym zdarzeniem.

Warto jednak wyraźnie rozdzielić dwa różne zagadnienia. Nadużyte certyfikaty code signing nie są tym samym, co certyfikaty główne znajdujące się w magazynie zaufania Windows. To rozróżnienie ma kluczowe znaczenie, ponieważ opisywany problem po stronie Microsoft Defender wskazuje na błędną klasyfikację legalnych artefaktów PKI, a nie na potwierdzone przejęcie głównych certyfikatów zaufania.

Analiza techniczna

Z technicznego punktu widzenia problem dotyczył mechanizmu sygnaturowego Microsoft Defender Antivirus. Wpis detekcyjny Trojan:Win32/Cerdigent.A!dha został opublikowany 30 kwietnia 2026 roku, a po wdrożeniu odpowiedniej aktualizacji Security Intelligence część systemów zaczęła oznaczać konkretne certyfikaty DigiCert jako zagrożenie.

Zgłoszenia administratorów wskazywały, że dotknięte były co najmniej wybrane odciski palca certyfikatów, a na hostach objętych fałszywą detekcją wpisy były usuwane z lokalizacji rejestru odpowiadającej magazynowi AuthRoot. To szczególnie istotne, ponieważ właśnie ten magazyn odpowiada za przechowywanie zaufanych certyfikatów głównych w systemie Windows.

Usunięcie wpisów z AuthRoot może prowadzić do błędów w budowaniu łańcucha certyfikacji, problemów z walidacją podpisów cyfrowych, ostrzeżeń TLS oraz zakłóceń działania procesów zależnych od zaufania do urzędów certyfikacji. Dodatkowym utrudnieniem był ogólny publiczny opis zagrożenia, który nie zawierał wielu szczegółów technicznych i utrudniał szybką ocenę charakteru incydentu.

Microsoft udostępnił poprawkę w aktualizacji Security Intelligence 1.449.430.0, a kolejne wydanie 1.449.431.0 było już publicznie dostępne. Z relacji administratorów wynikało również, że po wdrożeniu nowszych sygnatur mechanizm naprawczy w części przypadków przywracał wcześniej usunięte certyfikaty.

Konsekwencje / ryzyko

Największe ryzyko w tym incydencie nie wiąże się z klasycznym wykonaniem złośliwego kodu, lecz z naruszeniem integralności modelu zaufania w systemie operacyjnym. Fałszywie dodatnia detekcja dotycząca certyfikatów głównych może powodować rozległe skutki operacyjne.

• błędy walidacji certyfikatów i podpisów cyfrowych,
• problemy z instalacją lub uruchamianiem legalnego oprogramowania,
• zakłócenia komunikacji TLS w aplikacjach zależnych od określonych łańcuchów zaufania,
• niepotrzebne działania awaryjne, takie jak izolacja hostów lub reinstalacja systemów,
• wzrost obciążenia zespołów SOC, helpdesku i administratorów endpointów.

Ryzyko jest szczególnie wysokie w organizacjach korzystających z centralnego zarządzania ochroną stacji roboczych i serwerów. Błędna sygnatura może zostać szybko rozpropagowana na dużą liczbę urządzeń, a automatyczna remediacja ingerująca w magazyn zaufania może przełożyć się na masowe zakłócenia usług.

Rekomendacje

Organizacje powinny w pierwszej kolejności potwierdzić wersję sygnatur Microsoft Defender na wszystkich zarządzanych hostach i upewnić się, że zainstalowano co najmniej wersję 1.449.430.0 lub nowszą. W środowiskach krytycznych warto dodatkowo zweryfikować, czy magazyn AuthRoot zawiera oczekiwane certyfikaty oraz czy nie pojawiły się błędy walidacji po stronie aplikacji biznesowych.

• sprawdzić historię alertów Defendera pod kątem detekcji Trojan:Win32/Cerdigent.A!dha,
• wymusić aktualizację Security Intelligence na stacjach roboczych i serwerach,
• zweryfikować obecność zaufanych certyfikatów głównych w magazynie systemowym,
• monitorować logi pod kątem błędów TLS, PKI i podpisów kodu,
• przygotować procedurę odtworzenia zaufanych certyfikatów w razie niepełnej automatycznej naprawy,
• ograniczyć automatyczne destrukcyjne akcje remediacyjne wobec wrażliwych artefaktów PKI bez dodatkowej walidacji.

Z perspektywy architektury bezpieczeństwa incydent pokazuje również, że aktualizacje silników ochronnych i sygnatur powinny podlegać kontroli zmian podobnej do aktualizacji systemowych. Oprogramowanie zabezpieczające może nie tylko chronić środowisko, ale także generować ryzyko operacyjne, jeśli błędna reguła zostanie wdrożona szeroko i automatycznie.

Podsumowanie

Błędna detekcja certyfikatów DigiCert przez Microsoft Defender pokazuje, jak duży wpływ na środowisko produkcyjne może mieć pojedyncza nietrafiona reguła bezpieczeństwa. W tym przypadku problem dotyczył legalnych certyfikatów głównych i w części środowisk prowadził do ich usuwania z magazynu AuthRoot systemu Windows.

Choć Microsoft szybko opublikował poprawkę, incydent stanowi ważne ostrzeżenie dla zespołów bezpieczeństwa i administratorów infrastruktury. Kluczowe pozostaje monitorowanie zmian w silnikach ochronnych, walidacja stanu PKI na endpointach oraz gotowość do szybkiego odtwarzania zaufanych komponentów systemowych.

Źródła

• BleepingComputer – Microsoft Defender wrongly flags DigiCert certs as Trojan:Win32/Cerdigent.A!dha
• Microsoft Security Intelligence – Trojan:Win32/Cerdigent.A!dha
• Microsoft Security Intelligence – Antimalware updates change log 1.449.430.0
• Microsoft Security Intelligence – Antimalware updates change log 1.449.431.0
• Mozilla Bugzilla – DigiCert: Misissued code signing certificates