Siber güvenlik dünyası hafta sonuna oldukça stresli bir gelişmeyle girdi. Microsoft Defender kullanıcıları, sistemlerinde aniden ortaya çıkan “Cerdigent” adlı yüksek riskli zararlı yazılım uyarılarıyla karşı karşıya kaldı. Ancak kısa sürede yapılan incelemeler, bu olayın gerçek bir saldırıdan çok daha farklı bir soruna işaret ettiğini gösteriyor.
Olayın Özeti Nedir?
3 Mayıs 2026 sabah saatlerinde birçok kurum ve bireysel kullanıcı, sistemlerinde “Trojan:Win32/Cerdigent.A!dha” tespitiyle yüzlerce güvenlik alarmı aldı. Bu uyarılar, Defender tarafından otomatik olarak karantinaya alınan bileşenlerle birlikte geldi. Ancak dikkat çeken detay şuydu; tespit edilen “zararlı” aslında bir uygulama ya da dosya değil, güvenilir kök sertifikalardı.
Hedefteki Sertifikalar Hangileri?
Yanlışlıkla zararlı olarak işaretlenen sertifikalar arasında DigiCert Assured ID Root CA, DigiCert Trusted Root G4, DigiCert Trusted G4 Code Signing RSA4096 SHA256 2021 CA1, DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1, GoGetSSL G4 CS RSA4096 SHA256 2022 CA-1 ve Verokey High Assurance Secure Code EV gibi önemli sertifikalar yer alıyor. Bu sertifikalar, Windows işletim sistemlerinde varsayılan olarak bulunur ve HTTPS, VPN gibi birçok güvenli bağlantı için kritik öneme sahiptir.
Sorunun Kaynağı Nedir?
Topluluklardan gelen yoğun geri bildirimlere göre, olayın temel nedeni Microsoft’un yayınladığı hatalı bir antimalware imza güncellemesidir. Bu güncelleme sonrası Defender, güvenli sertifikaları “Trojan” olarak algıladı ve otomatik olarak karantinaya alma veya silme işlemleri yaptı. Bu durum, kurumsal ortamlarda alarm fırtınasına neden oldu.
Yanlış Alarm Olarak Değerlendiriliyor
Siber güvenlik uzmanlarının büyük bölümü, olayın gerçek bir saldırı olmadığını ve bir “false positive” vakası olduğunu belirtiyor. Sertifika otoritelerinin compromise edilmediği vurgulanıyor. Özellikle bu sertifikaların 2000’li yıllardan beri kullanılıyor olması, bir anda zararlı hale gelmelerinin teknik olarak düşük ihtimal olduğunu gösteriyor.
Kurumsal Ortamlarda Etkisi Nasıldır?
Bu durum, özellikle SOC ekipleri için ciddi bir operasyonel yük oluşturdu. Yüzlerce endpoint’te alarm üretildi ve SIEM ile XDR sistemleri doldu. Sertifikaların silinmesi bazı sistemlerde TLS hatalarına, uygulama bağlantı problemlerine ve servis kesintilerine yol açtı.
Uzmanların Önerileri Nelerdir?
Uzmanlar, Microsoft’tan gelecek resmi düzeltmeyi beklemeyi, silinen sertifikaların geri yüklenmesini ve manuel müdahalelerin minimumda tutulmasını öneriyor. Ayrıca geçici olarak hash/exclusion değerlendirmesi yapılabileceği belirtiliyor. “Cerdigent” alarmı, ilk bakışta büyük bir siber saldırı izlenimi yaratsa da, mevcut bulgular bunun küresel çapta bir yanlış tespit (false positive) olduğunu gösteriyor. Olay, güvenlik çözümlerinde yapılan hatalı güncellemelerin bile ne kadar büyük etki yaratabileceğini bir kez daha ortaya koydu.
Microsoft cephesinden gelecek resmi açıklama ve düzeltme paketi ise merakla bekleniyor.
