Microsoft Defender ошибочно помечает сертификаты DigiCert как троян

Microsoft Defender помечает легитимные корневые сертификаты DigiCert как Trojan:Win32/Cerdigent.A!dha, что приводит к многочисленным ложным срабатываниям и в некоторых случаях даже к удалению сертификатов из Windows.

По словам эксперта по кибербезопасности Флориана Рота, проблема впервые появилась после того, как Microsoft добавила эти обнаружения в обновление сигнатур Defender 30 апреля.

Теперь IT-администраторы по всему миру начали сообщать о том, что записи корневых сертификатов DigiCert были помечены как вредоносное ПО и на затронутых системах удалены из хранилища доверенных сертификатов Windows.

Согласно сообщению на Reddit о ложных срабатываниях, обнаруженные сертификаты следующие:

0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43;

DDFB16CD4931C973A2037D3FC83A4D7D775D05E4.

На затронутых системах эти сертификаты были удалены из хранилища AuthRoot в следующем ключе реестра:

HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\

Эти ложные срабатывания вызвали беспокойство среди пользователей Windows, некоторые из которых посчитали, что их устройства заражены, и переустановили ОС для безопасности. Сообщается, что Microsoft исправила обнаружение в обновлении Security Intelligence версии 1.449.430.0, а последнее обновление теперь имеет версию 1.449.431.0.

Другие сообщения на Reddit указывают на то, что исправление также восстанавливает ранее удалённые сертификаты на затронутых системах.

Обновления Microsoft Defender будут установлены автоматически, а пользователи Windows могут принудительно установить их вручную, перейдя в раздел «Безопасность Windows» > «Защита от вирусов и угроз» > «Обновления защиты» и нажав «Проверить наличие обновлений».

Microsoft подтвердила, что ложные срабатывания были связаны с обнаружением