Microsoft Defender Salah Deteksi Sertifikat DigiCert sebagai Trojan:Win32/Cerdigent.A!dha

16 minutes ago

2 minutes read

Microsoft Defender baru saja memicu kepanikan di kalangan pengguna dan administrator TI setelah secara keliru mendeteksi sertifikat root DigiCert yang sah sebagai perangkat lunak berbahaya (malware) Trojan:Win32/Cerdigent.A!dha. False positive (positif palsu) yang meluas ini bahkan menyebabkan penghapusan sertifikat tersebut dari sistem operasi Windows di beberapa kasus.

Menurut pakar keamanan siber Florian Roth, masalah ini pertama kali muncul setelah Microsoft menambahkan deteksi baru ke pembaruan tanda tangan (signature update) Defender pada tanggal 30 April 2026.

Sejak saat itu, administrator di seluruh dunia mulai melaporkan bahwa entri sertifikat root DigiCert ditandai sebagai malware dan dihapus dari penyimpanan kepercayaan (trust store) Windows. Di situs Reddit, kepanikan ini membuat beberapa pengguna berpikir bahwa PC mereka benar-benar terinfeksi virus yang sangat canggih, bahkan mendorong beberapa orang untuk menginstal ulang sistem operasi mereka sebagai tindakan pencegahan.

Perbaikan dan Konfirmasi dari Microsoft

Untungnya, Microsoft bergerak cepat dan telah memperbaiki kesalahan deteksi ini melalui pembaruan Security Intelligence versi 1.449.430.0 (dengan versi terbaru saat ini adalah 1.449.431.0). Pembaruan ini dilaporkan juga memulihkan kembali sertifikat yang sebelumnya telah dihapus dari sistem yang terdampak.

Dalam pernyataannya kepada BleepingComputer, Microsoft mengonfirmasi bahwa peringatan false positive ini secara tidak sengaja terpicu akibat upaya mereka untuk memblokir sertifikat yang disusupi dari insiden kebocoran DigiCert baru-baru ini.

“Menyusul laporan sertifikat yang disusupi, Microsoft Defender segera menambahkan deteksi malware dalam Perangkat Lunak Antivirus Defender kami untuk membantu menjaga pelanggan tetap terlindungi. Sebelumnya hari ini kami menetapkan peringatan false positive terpicu secara keliru dan telah memperbarui logika peringatannya,” jelas pihak Microsoft.

Pengguna tidak perlu mengambil tindakan tambahan apa pun karena Defender akan menekan dan membersihkan peringatan tersebut secara otomatis. Anda hanya perlu memastikan Windows Security Anda sudah diperbarui ke versi perlindungan 1.449.430.0 atau yang lebih baru.

Akar Masalah: Insiden Kebocoran DigiCert

False positive dari Microsoft Defender ini terjadi tak lama setelah pengungkapan insiden keamanan di pihak DigiCert. Insiden tersebut memungkinkan aktor ancaman untuk mendapatkan sertifikat penandatanganan kode yang valid, yang kemudian digunakan untuk menandatangani perangkat lunak berbahaya.

Menurut laporan insiden DigiCert, pada awal April, peretas menargetkan staf dukungan pelanggan perusahaan dengan membuat pesan berisi file ZIP berbahaya yang menyamar sebagai tangkapan layar. Setelah beberapa kali percobaan, perangkat salah satu analis dukungan akhirnya berhasil disusupi.

Berbekal akses ke lingkungan dukungan yang ditembus, peretas memanfaatkan fitur di portal internal DigiCert yang memungkinkan staf untuk melihat akun dari sudut pandang pelanggan. Meskipun cakupannya terbatas, akses ini mengekspos “kode inisialisasi” (initialization codes) dari pesanan sertifikat penandatanganan kode EV (EV code-signing) yang sebelumnya telah disetujui, tetapi belum dikirimkan ke pelanggan.

“Karena aktor ancaman dapat memperoleh dua potong informasi ini untuk serangkaian pesanan yang disetujui dalam jumlah terbatas, mereka mampu mendapatkan sertifikat EV Code Signing di seluruh set akun pelanggan dan Otoritas Sertifikat (CA),” urai DigiCert.

Kampanye Malware “Zhong Stealer”

Sebagai respons, DigiCert menyatakan telah mencabut 60 sertifikat penandatanganan kode, di mana 27 di antaranya terkait langsung dengan kampanye malware yang dikenal sebagai “Zhong Stealer”.

Peneliti keamanan seperti Squiblydoo, MalwareHunterTeam, dan g0njxa sebelumnya telah melaporkan bahwa sertifikat yang diterbitkan untuk perusahaan ternama seperti Lenovo, Kingston, Shuttle Inc, dan Palit Microsystems sedang digunakan secara ilegal untuk menandatangani malware.

“Sertifikat EV dari perusahaan-perusahaan ini diterbitkan dan digunakan oleh grup kejahatan Tiongkok, #GoldenEyeDog (#APT-Q-27)!” ungkap Squiblydoo di platform X.

Analisis menunjukkan bahwa “Zhong Stealer” mungkin lebih mirip Remote Access Trojan (RAT) ketimbang pencuri informasi (infostealer). Malware ini didistribusikan melalui email phishing yang menipu korban dengan gambar umpan, sebelum mengunduh payload tahap kedua dari penyimpanan cloud seperti AWS.

Sebagai catatan penting untuk menghindari kebingungan: sertifikat sah yang salah ditandai oleh Microsoft Defender adalah sertifikat root di dalam trust store Windows, dan ini tidak sama dengan sertifikat penandatanganan kode DigiCert yang telah dicabut karena digunakan oleh peretas untuk menandatangani malware.