Skip to main content
Incidentul Microsoft Defender și certificatele DigiCert – Ce s‑a întâmplat și ce trebuie să facă firmele
DIVERSE

Incidentul Microsoft Defender și certificatele DigiCert – Ce s‑a întâmplat și ce trebuie să facă firmele

👤Echipa CreativDigital
📅5 Mai 2026
🔄Actualizat: 2026-05-05
⏱️5 min citire

La începutul lunii mai 2026, un fals pozitiv Microsoft Defender a cauzat probleme eliminând certificate root DigiCert valide. Află ce s-a întâmplat și cum să verifici și să remediezi sistemele afectate.

La începutul lunii mai 2026, multe sisteme Windows au început să raporteze o amenințare severă numită Trojan:Win32/Cerdigent.A!dha, dar în realitate a fost vorba de un fals pozitiv în Microsoft Defender, care a vizat certificate root DigiCert perfect legitime. Pe unele mașini, Defender nu doar a afișat alerte, ci a șters efectiv certificate de încredere din magazinul de certificate Windows, rupând lanțul de încredere pentru aplicații și servicii legitime.

Ce s‑a întâmplat, pe scurt?

Un update de semnături pentru Microsoft Defender, lansat în jurul datei de 30 aprilie 2026, a introdus o detecție nouă pentru Trojan:Win32/Cerdigent.A!dha. La scurt timp după acest update, administratori din toată lumea au observat că Defender marca anumite certificate root DigiCert ca malware, deși acestea erau certificate publice de încredere, folosite în mod normal de Windows.

Investigațiile și răspunsurile oficiale arată că, în unele medii, Defender nu s‑a limitat la carantinare, ci a șters intrările corespunzătoare din zonele AuthRoot și ROOT ale magazinului de certificate al Windows. Amprentele (thumbprint‑urile) menționate cel mai des corespund unor root CA DigiCert recunoscute, nu unor certificate malițioase.

Consecința practică: pe sistemele afectate, Windows a încetat brusc să mai aibă încredere în aceste autorități de certificare DigiCert, ceea ce poate genera erori TLS, probleme la validarea semnăturilor de cod și mesaje de tip „acest certificat nu este de încredere” pentru aplicații și site‑uri legitime.

Contextul: breșa DigiCert

Incidentul cu Defender vine pe fondul unei breșe de securitate raportate de DigiCert în aprilie 2026, când atacatori au compromis sisteme interne de suport și le‑au folosit pentru a emite un număr limitat de certificate de semnare de cod perfect valide. DigiCert a anunțat că a revocat cel puțin 60 de certificate, inclusiv 27 folosite pentru a semna malware în campania „Zong Stealer”.

Totuși, certificatele marcate de Microsoft Defender sunt certificate root CA din magazinul de încredere Windows, nu acele certificate de semnare de cod specifice pe care DigiCert le‑a revocat. Cercetători în securitate au subliniat că, deși sincronizarea în timp cu breșa DigiCert este evidentă, falsul pozitiv pare a fi o problemă separată de detecție, nu o reacție directă la certificatele revocate.

În paralel: 44.000 de servere cPanel compromise de ransomware

În aceeași perioadă, comunitatea de securitate urmărea și o campanie masivă care exploata o vulnerabilitate critică în cPanel & WHM, urmărită ca CVE‑2026‑41940. Această vulnerabilitate de tip authentication bypass permite atacatorilor să obțină acces de administrator la servere cPanel fără credențiale valide, iar dovezile arată că exploit‑ul a fost folosit ca zero‑day cu mult înainte de publicarea patch‑urilor.

Organizații de monitorizare și rapoarte de securitate estimează că cel puțin 44.000 de adrese IP cu cPanel au fost compromise și folosite pentru a distribui un nou ransomware Linux numit „Sorry” (sau „SORI”), care criptează date folosind ChaCha20 și RSA‑2048. Deși valul de ransomware pe cPanel este un incident separat, el a amplificat haosul din aceeași perioadă în care organizațiile se confruntau și cu alertele Defender și problemele de certificate.

Pentru agenții precum CreativDigital, care administrează site‑uri și hosting pentru clienți, combinația dintre alarme false, breșe reale de certificate și exploatarea activă a serverelor complică semnificativ procesul de triere și răspuns la incidente.

Cum a reacționat Microsoft

După ce problema a fost escaladată de administratori și cercetători, Microsoft a confirmat că detecția certificatelor root DigiCert ca Trojan:Win32/Cerdigent.A!dha este un fals pozitiv. Microsoft a lansat semnături actualizate pentru Defender (Security Intelligence versiunea 1.449.430.0 și următoarele) care opresc marcarea acestor certificate și, pe sistemele afectate, restaurează certificatele șterse în magazinul de încredere.

În declarațiile publice, Microsoft explică faptul că a adăugat detecții pornind de la rapoarte despre certificate compromise, dar a stabilit ulterior că alertele asupra root‑urilor DigiCert sunt incorecte și a ajustat logica de detecție. Compania afirmă că noile definiții suprimă automat alertele greșite și că organizațiile pot urmări detalii suplimentare în Service Health Dashboard din Microsoft 365 admin center.

Cum verifici dacă ești afectat

Dacă administrezi endpoint‑uri sau servere Windows, merită să verifici dacă ai fost impactat:

  • Caută alerte Defender cu numele Trojan:Win32/Cerdigent.A!dha sau alte variante „Cerdigent” în perioada de după 30 aprilie 2026.
  • Pe sistemele afectate, verifică în Trusted Root Certification Authorities dacă există în continuare certificate precum „DigiCert Trusted Root G4” și „DigiCert Assured ID Root CA”.
  • Pentru verificări avansate, inspectează registrul la HKLM\SOFTWARE\Microsoft\SystemCertificates\ROOT și AuthRoot, unde Windows păstrează certificatele root de încredere.
  • Dacă folosești management centralizat (Defender for Endpoint, Intune, alte soluții EDR/AV), analizează log‑urile pentru ștergeri în masă de certificate sau alerte Cerdigent repetate pe mai multe dispozitive.

Conform indicațiilor Microsoft, Windows Update și mecanismele de sincronizare a certificatelor ar trebui să reinstaleze automat root‑urile de încredere, odată ce Defender și sistemul de operare sunt complet actualizate.

Pași recomandați pentru remediere

Chiar dacă patch‑ul Microsoft este disponibil, sunt câțiva pași practici pe care orice firmă ar trebui să îi facă:

Forțează actualizarea semnăturilor Defender

Asigură‑te că toate endpoint‑urile rulează Security Intelligence versiunea 1.449.430.0 sau mai nouă, fie din Windows Security → „Protection updates” → „Check for updates”, fie prin soluțiile tale de management centralizat.

Rulează un nou scan după update

Efectuează un scan rapid sau complet după actualizare, astfel încât alertele vechi să fie suprimate, iar eventualele amenințări reale (nelegate de acest incident) să fie totuși detectate.

Verifică prezența root‑urilor DigiCert

Testează pe un eșantion reprezentativ de sisteme că root‑urile DigiCert critice sunt din nou prezente și de încredere; dacă lipsesc, permite Windows să le re‑sincronizeze sau, la nevoie, importă‑le din sursele oficiale DigiCert.

Evită „bypass‑uri” permanente de securitate

Tentatia naturală în astfel de incidente este să dezactivezi Defender sau să adaugi excluderi foarte largi pentru registry sau magazinul de certificate. Asta poate elimina alertele, dar te lasă expus la atacuri reale și la manipularea certificatelor de către malware.

Documentează incidentul pentru clienți și audit

Dacă oferi servicii de IT sau securitate gestionate, notează când au ajuns semnăturile defectuoase în mediul tău, când s‑au remediat, ce ai verificat și cum te‑ai asigurat că root‑urile de încredere au fost restaurate.

Lecții pentru companii și echipe IT

Incidentul arată cât de ușor pot deveni chiar și instrumentele de securitate o sursă de risc operațional atunci când detecțiile greșesc:

  • Infrastructura de certificate este fragilă – Ștergerea unui root CA din magazinul de încredere poate rupe tăcut servicii critice, lăsând doar erori de certificat pe care utilizatorii obișnuiți le pot ignora.
  • Update‑urile de detecție sunt schimbări de configurare – Semnăturile AV/EDR ar trebui tratate ca niște schimbări de configurare: monitorizate, logate și, dacă se poate, aplicate gradual, pentru a observa efectele negative înainte să lovească tot parcul de echipamente.
  • Comunicarea clară reduce panica – Mesajele rapide și clare de la vendor și de la echipa de securitate ajută la separarea amenințărilor reale (cum este ransomware‑ul pe cPanel) de zgomotul produs de tool‑uri (cum sunt alertele false pentru DigiCert).
  • Defense‑in‑depth rămâne critic – Combinarea protecției la endpoint cu patch management, configurări sigure și monitorizare independentă reduce șansa ca un singur update prost să te lase fără vizibilitate.

Pentru organizațiile care folosesc Microsoft Defender și certificate susținute de DigiCert, prioritatea imediată este să verifice actualizările și restaurarea root‑urilor de încredere – iar pe termen mediu, să folosească incidentul ca punct de pornire pentru a întări monitorizarea, documentarea și procedurile de răspuns la incidente pentru următorul „șoc” de securitate.

Articole Similare

Pets pentru dezvoltatori: Codex Pets, GPT‑5.5 și noul stack OpenAI
AI & Automatizare

Pets pentru dezvoltatori: Codex Pets, GPT‑5.5 și noul stack OpenAI

OpenAI a transformat Codex într‑un playground cu pet‑uri AI animate și a lansat GPT‑5.5 plus modelele open‑weight gpt‑oss. Află de ce combinația asta de joacă și putere contează pentru dezvoltatori și fondatori.

⏱️7 min
Claude Opus 4.7: Ghid practic pentru dezvoltatori și companii
AI & Automatizare

Claude Opus 4.7: Ghid practic pentru dezvoltatori și companii

Claude Opus 4.7 este cel mai nou model premium Anthropic, gândit ca un upgrade direct peste Opus 4.6, cu performanță mult mai bună pe coding, viziune și task‑uri multi‑pas complexe.

⏱️8 min
Claude Mythos Preview: Inteligența Artificială Care a Spart Totul (Și De Ce Este Ținută Ascunsă)
Cybersecurity

Claude Mythos Preview: Inteligența Artificială Care a Spart Totul (Și De Ce Este Ținută Ascunsă)

Anthropic a decis să nu lanseze public modelul Claude Mythos Preview, un sistem AI capabil să descopere și să exploateze autonom zero-days și vulnerabilități critice. Află de ce a fost creat Project Glasswing.

⏱️5 min
← Înapoi la Blog