Tưởng tượng một ngày bạn thức dậy và phát hiện rằng phần mềm diệt virus đang tin tưởng nhất lại coi hàng nghìn website hợp pháp là mối đe dọa nguy hiểm. Microsoft Defender đang gây ra cơn ác mơng thực sự cho cộng đồng công nghệ toàn cầu khi liên tục báo cáo sai các chứng chỉ gốc (root certificate) của DigiCert là mã độc Trojan:Win32/Cerdigent.A!dha. Tệ hơn nữa, trong một số trường hợp, phần mềm này đã tự ý xóa luôn các chứng chỉ quan trọng khỏi hệ thống Windows.

Khi người gác cổng thành kẻ phá hoại

DigiCert là một trong những nhà cung cấp chứng chỉ SSL/TLS (Secure Sockets Layer/Transport Layer Security - công nghệ mã hóa dữ liệu truyền tải) lớn nhất thế giới, được tin tưởng bởi hàng triệu trang web từ ngân hàng đến thương mại điện tử. Chứng chỉ gốc của DigiCert giống như "con dấu" xác nhận tính hợp pháp của các website, đảm bảo người dùng đang kết nối với đúng trang web mình muốn truy cập chứ không phải trang giả mạo.

Chúng tôi cho rằng đây là một trong những sự cố nghiêm trọng nhất về false positive (cảnh báo sai) trong lịch sử gần đây. Microsoft Defender không chỉ đơn thuần báo cáo sai mà còn chủ động xóa bỏ những chứng chỉ này, khiến người dùng không thể truy cập an toàn vào nhiều website quan trọng. Hành động này tương đương với việc một bảo vệ tòa nhà lại khóa cửa chính và ném chìa khóa đi.

Căn nguyên của thảm họa công nghệ

Vấn đề bắt nguồn từ thuật toán phát hiện mối đe dọa dựa trên hành vi (behavioral detection) của Microsoft Defender. Hệ thống này sử dụng trí tuệ nhân tạo để phân tích các tệp và chứng chỉ, tìm kiếm những đặc điểm nghi ngờ giống với mã độc đã biết. Tuy nhiên, có vẻ như thuật toán đã "học sai" và nhận diện nhầm cấu trúc dữ liệu đặc trưng của chứng chỉ DigiCert với malware Cerdigent.

Theo phân tích của chúng tôi, tên mã độc "Cerdigent" trong cảnh báo có thể là sự kết hợp giữa "Certificate" (chứng chỉ) và "DigiCert", cho thấy hệ thống AI của Microsoft đã tạo ra một danh mục phân loại sai lầm. Điều đáng lo ngại là Microsoft vẫn chưa đưa ra lời giải thích chính thức về nguyên nhân cụ thể, khiến cộng đồng IT phải tự suy đoán và tìm cách khắc phục tạm thời.

Tác động lan rộng khắp hệ sinh thái số

Sự cố này ảnh hưởng trực tiếp đến hàng nghìn doanh nghiệp sử dụng chứng chỉ DigiCert trên toàn thế giới. Các trang web thương mại điện tử, ngân hàng trực tuyến, và dịch vụ cloud computing đều có thể gặp phải tình trạng người dùng không thể truy cập an toàn. Đối với thị trường Việt Nam, nhiều doanh nghiệp lớn như Vietcombank, Techcombank, và các sàn thương mại điện tử hàng đầu đang sử dụng chứng chỉ từ DigiCert.

Theo số liệu từ các diễn đàn công nghệ quốc tế, đã có hơn 10,000 báo cáo về sự cố này chỉ trong vòng 48 giờ đầu. Các quản trị viên hệ thống buộc phải tạm thời tắt Microsoft Defender hoặc thêm ngoại lệ (whitelist) cho chứng chỉ DigiCert, tạo ra khoảng trống bảo mật nguy hiểm.

Hướng dẫn ứng phó khẩn cấp cho người dùng Việt

Đối với doanh nghiệp Việt Nam đang gặp phải vấn đề này, chúng tôi khuyến nghị thực hiện ngay các bước sau: Thứ nhất, truy cập Windows Security > Virus & threat protection > Manage settings > Add or remove exclusions, sau đó thêm đường dẫn "C:\Windows\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache" vào danh sách ngoại lệ. Thứ hai, tạm thời tắt tính năng Real-time protection trong vài giờ để hệ thống có thể tải lại chứng chỉ cần thiết.

Người dùng cá nhân nên cập nhật định nghĩa virus mới nhất thông qua Windows Update và kiên nhẫn chờ Microsoft phát hành bản vá chính thức. Tuyệt đối không tải và cài đặt chứng chỉ từ nguồn không rõ ràng, vì đây có thể là cơ hội để kẻ xấu phát tán malware thật sự. Microsoft cần phải ra mặt giải quyết sự cố này trong thời gian sớm nhất, vì niềm tin của người dùng vào hệ sinh thái bảo mật Windows đang bị lung lay nghiêm trọng.