Gangguan keamanan yang tampak sepele ternyata bisa berdampak luas di lingkungan Windows perusahaan. Dalam kasus ini, Microsoft Defender salah menandai dua root certificate milik DigiCert sebagai malware, lalu mengarantina sertifikat yang justru dipakai untuk fondasi validasi sistem.
Masalah itu muncul setelah pembaruan signature Defender pada 30 April memperkenalkan deteksi Trojan:Win32/Cerdigent.A!dha. Deteksi tersebut bukan berasal dari malware baru, melainkan dari kecocokan hash kriptografis yang keliru dan mengenai sertifikat akar yang sudah dipercaya oleh hampir semua mesin Windows saat ini.
Dua sertifikat yang ikut terdampak adalah DigiCert Assured ID Root CA dengan thumbprint 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 dan DigiCert Trusted Root G4 dengan thumbprint DDFB16CD4931C973A2037D3FC83A4D7D775D05E4. Keduanya sudah lama berada di trust store Windows dan dipakai untuk memvalidasi koneksi SSL/TLS, code-signing, serta panggilan API di jutaan sistem perusahaan dan konsumen.
Begitu sertifikat itu dikarantina, rantai validasi ikut terputus. Dampaknya, sejumlah administrator harus menghabiskan waktu berjam-jam untuk menelusuri sumber gangguan layanan, sementara sebagian lain memilih memasang ulang sistem operasi setelah melihat deteksi Trojan muncul di konsol keamanan.
Pemicu awalnya berkaitan dengan insiden nyata di DigiCert pada awal April. Saat itu, penyerang menggunakan file ZIP berbahaya yang disamarkan sebagai tangkapan layar pelanggan untuk membobol dua endpoint tim dukungan perusahaan.
Serangan tersebut memanfaatkan deployment EDR yang salah konfigurasi pada salah satu mesin dan tidak berhasil dihentikan di tahap awal. Setelah berhasil masuk, penyerang mengakses portal dukungan internal DigiCert dan memperoleh initialization codes untuk sejumlah terbatas sertifikat EV code-signing.
DigiCert kemudian mengidentifikasi dan mencabut 60 sertifikat dalam waktu 24 jam. Di antara sertifikat yang dicabut ada yang terkait dengan kampanye malware Zhong Stealer.
Microsoft lalu memperluas deteksi Defender untuk melindungi pelanggan dari malware yang ditandatangani dengan sertifikat yang sudah dikompromikan. Namun, logika deteksi yang dipakai terlalu luas dan ikut menyentuh root CA DigiCert yang sah, sehingga perangkat Windows yang tidak bermasalah justru terkena tindakan karantina.
Microsoft menyebut alert tersebut sebagai false positive dan memperbarui logika alert. Perbaikan itu hadir lewat Security Intelligence update 1.449.430.0, dan sistem yang menerima pembaruan ini otomatis mendapat pemulihan sertifikat.
Untuk lingkungan dengan kebijakan update terbatas, administrator perlu memeriksa pemulihan secara manual. Microsoft menyarankan perintah certutil -store AuthRoot | findstr -i “digicert” untuk mengecek status sertifikat yang sempat terdampak.
Meski perbaikan sudah dirilis, sebagian pengguna masih melihat alert Trojan:Win32/Cerdigent.A!dha pada definition version 1.449.446.0. Kondisi ini menunjukkan pemulihan belum sepenuhnya menyebar ke semua jalur distribusi definisi.
Microsoft merekomendasikan pembaruan Defender ke Security Intelligence versi terbaru melalui Settings, lalu Windows Security, Virus and Threat Protection, dan Protection Updates. Menjalankan Windows Update dan restart juga disebut bisa membantu menyelesaikan pemulihan sertifikat yang sempat dikarantina.
DigiCert menegaskan bahwa sertifikat yang salah dihapus Defender akan pulih otomatis setelah update diterapkan. Perusahaan itu juga menyatakan tidak ada kompromi yang lebih luas terhadap sertifikat pelanggan, akun, atau sistem.
Kasus ini menambah daftar masalah update Microsoft pada April dan Mei. Di periode yang sama, muncul isu boot loop KB5083769 di mesin HP dan Dell, dorongan upgrade paksa ke Windows 11 25H2, serta pembaruan yang merusak alat backup pihak ketiga dari Acronis dan Macrium.
Bagi administrator Windows, kejadian ini menjadi pengingat bahwa pembaruan keamanan yang terlalu agresif bisa berubah menjadi sumber gangguan operasional. Satu deteksi yang keliru saja dapat memutus validasi sistem inti dan membuat banyak perangkat terlihat seolah mengalami kompromi besar.
Source: www.notebookcheck.net-
-
-
-
