Una nueva actualización de Microsoft Office ha provocado un falso positivo en su solución de ciberseguridad Defender for Endpoint, ha admitido la compañía.
La herramienta etiquetó las actualizaciones como un posible comportamiento de ransomware y, dada la prevalencia de los ataques a la cadena de suministro, no es de extrañar que la gente se lo tomara en serio.
Microsoft respondió rápidamente, confirmó que el problema era en realidad solo un falso positivo y modificó rápidamente Defender para Endpoint para mitigar el problema.
«По состоянию на утро 16 марта клиенты, возможно, столкнулись с рядом ложных срабатываний, связанных с обнаружением поведения программ-вымогателей в файловой системе», — говорится в отчете Microsoft. «Администраторы, возможно, заметили, что ошибочные оповещения назывались «Поведение программ-вымогателей, обнаруженных в файловой системе», и оповещения были вызваны в OfficeSvcMgr.exe».
Los problemas del código
Компания добавила, что проблема связана с проблемой кода, которая была быстро решена.
«Наше расследование показало, что недавно развернутое обновление компонентов службы, которые обнаруживают оповещения о программах-вымогателях, привело к возникновению проблемы с кодом, из-за которой оповещения запускались при отсутствии проблем. Мы внедрили обновление кода для решения этой проблемы и обеспечения того, чтобы «Новых оповещений не было». были отправлены, и мы повторно обработали накопившиеся оповещения, чтобы полностью устранить последствия».
Это не первый случай, когда Defender for Endpoint сталкивается с ложными срабатываниями. В начале декабря 2021 года антивирусная программа не позволяла пользователям открывать определенные файлы Office и запускать различные приложения, что вызывало ложные срабатывания, связанные с вредоносным ПО Emotet.
В тот момент программа обнаружила задания печати как вредоносное ПО Emotet, а также любые приложения Office, использующие MSIP.ExecutionHost.exe и slpwow64.exe.
После этого Microsoft, как сообщается, попыталась повысить чувствительность своих фильтров для обнаружения Emotet и подобных действий из-за недавнего возрождения вредоносного ПО.
Emotet, который, как полагают, возник в Украине, практически исчез в начале прошлого года после того, как правоохранительные органы взяли под контроль инфраструктуру Emotet и предположительно арестовали людей, причастных к этой операции.
Однако с середины ноября 2021 года снова начали появляться новые образцы Emotet. Они очень похожи на предыдущий штамм, но имеют другую схему шифрования и отправляются на машины, зараженные TrickBot.
Через: BleepingComputer