Третьего мая 2026 года системные администраторы и обычные пользователи Windows по всему миру столкнулись с внезапным шквалом критических предупреждений от Microsoft Defender. Встроенный антивирус начал массово маркировать системные файлы как угрозу "Trojan:Win32/Cerdigent.A!dha". Это событие затронуло сотни тысяч машин, вызвав настоящий хаос в корпоративных сетях.
Специалисты по информационной безопасности пришли в тревогу. Многие решили, что неизвестная хакерская группа смогла скомпрометировать их инфраструктуру. Стандартные меры реагирования не давали результата. Быстрое сканирование, полная проверка системы и даже специализированный офлайн-детектор Microsoft Defender не могли ни изолировать, ни удалить навязчивое предупреждение. Некоторые отчаявшиеся сотрудники прибегли к полной переустановке Windows, потеряв локальные данные в попытке избавиться от призрачного вредоносного ПО.
Однако очень быстро возникли подозрения, что это массовое ложное срабатывание. IT-специалисты начали сверять алерты Microsoft Defender с альтернативными средствами защиты. Платформы для обнаружения и реагирования на угрозы (EDR) от SentinelOne, Arctic Wolf и Malwarebytes показывали чистые результаты на тех же машинах. Изолированный характер предупреждений однозначно указывал на ошибку в обновлении сигнатур угроз внутри экосистемы Microsoft, а не на реальную глобальную вспышку вредоносного кода.
Технические эксперты быстро определили конкретные файлы, вызывавшие агрессивную реакцию Defender. Движок Microsoft атаковал два корневых сертификата, идентифицируемых следующими криптографическими хэшами: 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 и DDFB16CD4931C973A2037D3FC83A4D7D775D05E4. Эти хэши соответствуют легитимным корневым сертификатам компании DigiCert. Такие сертификаты - критический элемент инфраструктуры, используемый для проверки подлинности безопасного веб-трафика и цифровой подписи программного обеспечения.
Внезапное обнаружение оказалось тесно связано с более широкими действиями индустрии кибербезопасности в отношении доверия к сертификатам и их отзыва. Недавние обсуждения, в том числе в системе отслеживания ошибок Mozilla, показывают, что крупные разработчики браузеров и операционных систем координируют удаление конкретных сертификатов, которые злоумышленники использовали в последних атаках. Первая попытка Microsoft заблокировать эти скомпрометированные сертификаты привела к чрезмерно широкому и агрессивному правилу обнаружения, которое ошибочно задело легитимные активы DigiCert.
Инженеры Microsoft оперативно нашли ошибочную логику и выпустили критическое исправление. Как сообщили в компании, проблема окончательно решена в версии обновления определений безопасности 1.449.430.0. Чтобы немедленно убрать ложные предупреждения о трояне, системным администраторам нужно принудительно обновить сигнатуры вручную. Организациям следует установить обновление KB2267602 на все свои конечные точки. После применения свежих определений Microsoft Defender корректно обработает корневые сертификаты DigiCert и мгновенно снимет тревожные алерты.
Этот инцидент - яркий пример того, как даже надёжные системы защиты могут давать сбой из-за ошибки в правилах. Хотя паника и удаление личных данных были излишними, вся ситуация разрешилась быстро. Специалистам по безопасности стоит помнить: если сигнал от антивируса не подтверждается другими независимыми средствами, прежде чем принимать радикальные меры, всегда полезно проверить актуальность сигнатур и сверить информацию с официальными источниками. В данном случае достаточно было дождаться патча, чтобы избежать необоснованных сбросов систем и потери информации.
