O Microsoft Defender marca as atualizações do Office como atividade de ransomware
Os administradores do Windows foram atingidos hoje por uma onda de falsos positivos do Microsoft Defender for Endpoint em que as atualizações do Office foram marcadas como maliciosas em alertas que apontam para o comportamento de ransomware detectado em seus sistemas.
De acordo com relatórios dos administradores do sistema Windows [ 1 , 2 , 3 , 4 ], isso começou a acontecer há várias horas e, em alguns casos, levou a uma “chuva de alertas de ransomware”.
Após o aumento de relatórios, a Microsoft confirmou que as atualizações do Office foram marcadas erroneamente como atividade de ransomware devido a falsos positivos.
Redmond acrescentou que seus engenheiros atualizaram a lógica da nuvem para evitar que alertas futuros apareçam e remover os falsos positivos anteriores.
“A partir da manhã de 16 de março, os clientes podem ter experimentado uma série de detecções falso-positivas atribuídas a uma detecção de comportamento de ransomware no sistema de arquivos. o sistema de arquivos’ e os alertas foram acionados no OfficeSvcMgr.exe”, disse a Microsoft após os relatórios dos usuários.
“Nossa investigação descobriu que uma atualização implantada recentemente nos componentes de serviço que detectam alertas de ransomware introduziu um problema de código que estava fazendo com que os alertas fossem acionados quando nenhum problema estava presente. Implantamos uma atualização de código para corrigir o problema e garantir que nenhum novo alerta seja gerado. enviados e reprocessamos uma lista de alertas pendentes para remediar completamente o impacto.”
Após o lançamento da atualização da lógica da nuvem, os alertas de atividade de ransomware incorretos não serão mais gerados. Todos os falsos positivos registrados também devem ser eliminados automaticamente do portal sem exigir a intervenção dos administradores.
Falsos positivos acionados por uma alteração de código.
De acordo com a Microsoft, o problema “pode ter afetado potencialmente” os administradores que tentaram visualizar alertas de ransomware no Microsoft Defender for Endpoint.
A causa raiz dos falsos positivos foi uma atualização implantada recentemente nos componentes de serviço para detectar alertas de ransomware.
Isso introduziu um problema de código que fez com que os alertas fossem acionados incorretamente sem que a atividade de ransomware estivesse presente no sistema.
Em novembro, o Defender for Endpoint também bloqueou a abertura de documentos do Office e a inicialização de alguns executáveis do Office devido a outro falso positivo marcando os arquivos Emotet malware payloads .
Um mês depois, também mostrou erroneamente alertas de “alteração do sensor” vinculados ao scanner Microsoft 365 Defender recém-implantado da empresa para processos Log4j.
Desde outubro de 2020, os administradores tiveram que lidar com outros problemas semelhantes do Defender for Endpoint, incluindo um alerta de dispositivos de rede infectados com Cobalt Strike e outro marcando atualizações do Chrome como backdoors PHP .
Um porta-voz da Microsoft não estava disponível para comentar quando contatado pela BleepingComputer hoje cedo.
Fonte: BleeplingComputer.