Microsoft présente Defender comme une protection antivirus efficace qui remplace avantageusement les outils externes. Or, il s'avère que le programme peut signaler à tort des menaces inexistantes. Microsoft Defender a commencé à alerter sur une menace nommée Cerdigent. Les experts en sécurité s'y intéressent de près, mais les premières constatations suggèrent qu'il ne s'agit pas d'un logiciel malveillant, mais plutôt de problèmes liés aux certificats. La source de la confusion serait DigiCert, une entreprise chargée de délivrer les certificats logiciels. Selon Bugzilla, l'attaquant a obtenu un accès limité aux outils de support internes après avoir pris le contrôle de l'ordinateur d'un employé. Cela lui a permis d'obtenir les codes d'initialisation nécessaires à la génération de certificats de signature de code. Ces certificats attestent que les applications sont fiables auprès du système et des logiciels de sécurité ; leur utilisation abusive peut donc permettre à des fichiers malveillants de passer pour sûrs. DigiCert a identifié le problème et révoqué 60 certificats, dont certains étaient liés au logiciel malveillant Zhong Stealer. Cependant, il semble que les alertes de Defender concernant Cerdigent soient en grande partie des faux positifs, dus à une confusion autour des signatures numériques de confiance. La base de données de menaces de Microsoft contient elle-même peu d'informations sur ce nom, ce qui complique encore la situation.

Il semblerait que nous soyons davantage confrontés à un effet secondaire d'une infrastructure de certificats compromise qu'à une nouvelle vague d'attaques ciblant directement les utilisateurs. Par conséquent, si vous recevez un tel message de Microsoft Defender, ne vous inquiétez pas et assurez-vous simplement que votre logiciel est à jour. Microsoft Defender présentait une faille zero-day découverte quelques heures après la publication d'un correctif pour une autre vulnérabilité. Cette faille permettait d'obtenir les privilèges SYSTEM, conférant ainsi à l'attaquant le niveau d'accès le plus élevé à Windows et, par conséquent, un contrôle total sur l'ordinateur de la victime. La vulnérabilité a été découverte par un chercheur en sécurité utilisant le pseudonyme Nightmare-Eclipse , qui avait précédemment publié un outil permettant de contourner les mécanismes de protection de Defender.