Microsoft Defender baru-baru ini sempat bikin heboh para admin IT dan tim keamanan di berbagai perusahaan. Pasalnya, sebuah pembaruan keamanan justru memicu false positive yang cukup serius. Dua sertifikat root DigiCert yang selama ini dikenal aman dan terpercaya malah ditandai sebagai malware, yang berpotensi mengganggu sistem validasi SSL/TLS hingga proses code-signing di banyak lingkungan enterprise.
Baca Juga : Update April Windows Picu Error Warning di Remote Desktop
Masalah ini bermula dari update signature antimalware Microsoft Defender yang dirilis sekitar 30 April 2026. Update tersebut memperkenalkan deteksi baru bernama Trojan:Win32/Cerdigent.A!dha. Sayangnya, deteksi ini keliru mengidentifikasi entri registry dari dua sertifikat root populer, yaitu:
- DigiCert Assured ID Root CA (thumbprint: 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43)
- DigiCert Trusted Root G4 (thumbprint: DDFB16CD4931C973A2037D3FC83A4D7D775D05E4)
Padahal, kedua sertifikat ini merupakan bagian penting dari infrastruktur keamanan internet dan digunakan secara luas untuk memastikan koneksi yang aman.
Kenapa Ini Bisa Jadi Masalah Besar?
Sertifikat tersebut tersimpan di dalam Windows trust store, tepatnya di path registry:
HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates
Di sinilah Windows mengelola daftar sertifikat root dan intermediate yang dipercaya. Nah, ketika Microsoft Defender mendeteksi sertifikat ini sebagai ancaman, sistem langsung menjalankan proses standar: mengarantina (quarantine) entri tersebut.
Sekilas mungkin terlihat seperti langkah keamanan biasa. Tapi dampaknya ternyata cukup serius.
Tanpa sertifikat root ini, sistem Windows bisa gagal melakukan verifikasi koneksi SSL/TLS. Artinya, akses ke website HTTPS bisa bermasalah, muncul peringatan keamanan di browser, hingga aplikasi tertentu tidak bisa berjalan dengan normal karena gagal verifikasi tanda tangan digital (code-signing).
Buat perusahaan yang bergantung pada layanan berbasis HTTPS atau software yang ditandatangani oleh DigiCert, kondisi ini jelas berisiko tinggi. Gangguan bisa terjadi secara luas, bahkan sampai ke operasional bisnis sehari-hari.
Bagaimana Kasus Ini Terungkap?
Salah satu yang pertama mengangkat isu ini adalah peneliti keamanan siber Florian Roth (@cyb3rops). Ia membagikan temuannya di platform X dan mengajak komunitas keamanan untuk segera melakukan investigasi.
Roth juga menyediakan query Advanced Hunting untuk membantu admin mengecek apakah sertifikat DigiCert sudah kembali ke sistem:
| where ActionType == “RegistryKeyCreated”
| where Timestamp > datetime(2026-05-03T04:00:00)
| project Timestamp, DeviceName, ActionType, InitiatingProcessFileName
| order by Timestamp desc
Selain itu, ada cara cepat yang bisa dilakukan lewat command line:
certutil -store AuthRoot | findstr -i “digicert”
Dengan perintah ini, admin bisa memastikan apakah sertifikat DigiCert masih tersedia di dalam trust store.
Di sisi lain, forum Q&A Microsoft juga langsung dipenuhi laporan dari berbagai administrator. Banyak yang mengonfirmasi bahwa hash sertifikat DigiCert yang terdeteksi tetap sesuai dengan data resmi dari situs DigiCert. Artinya, tidak ada kompromi keamanan yang sebenarnya terjadi—ini murni kesalahan deteksi.
Respons Cepat dari Microsoft
Menanggapi situasi ini, Microsoft tidak tinggal diam. Mereka segera merilis pembaruan definisi baru untuk memperbaiki kesalahan tersebut. Versi yang disebut-sebut menjadi solusi utama adalah update dengan kode .430, yang mulai mengembalikan sertifikat yang sebelumnya dikarantina.
Menariknya, proses pemulihan ini tampaknya berjalan otomatis di banyak perangkat yang dikelola secara terpusat. Ini mengindikasikan bahwa Microsoft juga melakukan semacam silent remediation, alias perbaikan diam-diam tanpa perlu intervensi pengguna.
Namun, untuk lingkungan dengan kebijakan update yang lebih ketat, administrator tetap disarankan untuk melakukan pengecekan manual. Gunakan tools seperti certutil atau fitur Advanced Hunting di Microsoft Defender for Endpoint untuk memastikan semuanya sudah kembali normal.
Baca Juga : Microsoft Defender Perluas Peringatan Klik URL ke Microsoft Teams
Pelajaran Penting dari Kasus Ini
Insiden ini jadi pengingat bahwa sistem keamanan otomatis punya dua sisi. Di satu sisi, fitur seperti auto-quarantine sangat efektif untuk mencegah ancaman nyata, termasuk teknik malware yang mencoba memanipulasi certificate store.
Tapi di sisi lain, jika terjadi kesalahan seperti ini, dampaknya bisa cukup luas dan mengganggu operasional.
Kasus false positive Cerdigent ini menunjukkan bahwa bahkan platform keamanan besar seperti Microsoft Defender tetap perlu menjaga kualitas dan validasi ketat, terutama untuk update yang menyasar komponen krusial seperti root certificate trust store di Windows.
Buat pengguna dan admin IT, kejadian ini juga jadi reminder penting: jangan hanya mengandalkan sistem otomatis. Tetap lakukan monitoring dan verifikasi secara berkala, supaya bisa cepat tanggap saat terjadi hal yang tidak diharapkan.
