Microsoft Defender викликав паніку серед користувачів, помилково видаляючи дійсні сертифікати

Вчора стало відомо про серйозний збій у Microsoft Defender. Після оновлення сигнатур від 30 квітня антивірус почав розпізнавати легітимні кореневі сертифікати DigiCert як загрозу Trojan:Win32/Cerdigent.A!dha і автоматично видаляти їх із системного сховища довіри Windows.

Помилка призвела до справжнього хаосу: багато користувачів та системних адміністраторів подумали, що їхні комп’ютери зламані. Деякі навіть переінсталювали Windows через страх інфекції. Проблема особливо сильно вдарила по корпоративному середовищу, порушуючи роботу довірених з’єднань і підписаних програм.

Причина помилки пов’язана з реальним інцидентом безпеки DigiCert на початку квітня 2026 року. Тоді хакери скомпрометували підтримку компанії та отримали можливість випускати фальшиві сертифікати підпису коду (зокрема для Lenovo та Kingston), які використовувалися для поширення шкідливого ПЗ Zhong Stealer. Microsoft намагалася швидко відреагувати, заблокувавши скомпрометовані сертифікати, проте оновлення виявилося надто агресивним і зачепило повністю легітимні кореневі сертифікати.

Microsoft вже випустила виправлення у вигляді оновлення Security Intelligence версії 1.449.430.0. Після встановлення Defender перестає видаляти правильні сертифікати і відновлює видалені записи. Але цей інцидент став черговим нагадуванням про ризики надмірно агресивного виявлення загроз і викликав хвилю обговорень в ІТ-спільнотах.

Нагадаємо, що це не перша проблема з антивірусом від Microsoft: в середині квітня у Windows Defender знайшли критичну вразливість нульового дня.