Microsoft Defender oznaczał aktualizacje pakietu Office jako ransomware

Administratorzy systemów Windows zostali wczoraj zalani falą fałszywych alarmów Microsoft Defender for Endpoint, w których aktualizacje pakietu Office były oznaczane jako złośliwe. Komunikaty informowały o ransomware wykrytym w ich systemach.

Po fali zgłoszeń Microsoft potwierdził, że aktualizacje pakietu Office zostały omyłkowo oznaczone jako aktywność ransomware, co oznacza, że były to tzw. false positive.

Microsoft Defender już dostał odpowiednią poprawkę

Począwszy od rana 16 marca, klienci mogli doświadczyć serii alarmów false positive, które są przypisane do wykrywania ransomware w systemie plików. Administratorzy mogli zauważyć, że błędne alerty miały tytuł „Wykryto zachowanie Ransomware w systemie plików”, a alerty były wyzwalane w pliku OfficeSvcMgr.exe – poinformował Microsoft zaraz po zgłoszeniach użytkowników.

Microsoft Defender

Nasze dochodzenie wykazało, że niedawno wdrożona aktualizacja w komponentach usług, które wykrywają alerty dotyczące oprogramowania ransomware, wprowadziła błąd w kodzie, który powodował, że alerty były uruchamiane, gdy nie występował żaden problem. Wdrożyliśmy aktualizację, aby naprawić problem i zapewnić, że nie będą wysyłane żadne nowe alerty, a także ponownie przetworzyliśmy zaległe alerty, aby całkowicie wyeliminować ich wpływ – dodała firma.

Po wprowadzeniu aktualizacji logiki chmury nieprawidłowe alerty dotyczące aktywności ransomware nie będą już generowane. Wszystkie zarejestrowane alerty false positive powinny być również automatycznie usunięte z bez konieczności interwencji administratorów.

Główną przyczyną fałszywych alarmów była niedawno wdrożona aktualizacja komponentów usługi do wykrywania alertów ransomware. Wprowadziła ona błąd w kodzie, który powodował, że alerty były uruchamiane bez aktywności ransomware w systemie.

To nie pierwszy taki przypadek. W listopadzie ubiegłego roku program Defender for Endpoint blokował również otwieranie dokumentów pakietu Office i niektórych plików wykonywalnych pakietu Office z powodu kolejnego fałszywego alarmu oznaczającego pliki jako złośliwe oprogramowanie Emotet.

Źródło: BleepingComputer

0 0 votes
Article Rating
Powiadomienia
Powiadom o
0 komentarzy
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x