Microsoft Defender отмечает обновления Office как активность вымогательского ПО

1
Microsoft Defender для конечных точек получает новый режим устранения неполадок

Сегодня администраторы Windows столкнулись с волной ложных срабатываний Microsoft Defender for Endpoint, когда обновления Office были помечены как вредоносные в предупреждениях, указывающих на поведение вымогательского ПО, обнаруженного в их системах.

Согласно отчетам системных администраторов Windows, это начало происходить несколько часов назад и в некоторых случаях привело к «ливню предупреждений о вымогательстве».

После всплеска сообщений Microsoft подтвердила, что обновления Office были ошибочно отмечены как активность вымогателей из-за ложных срабатываний.

Редмонд добавил, что его инженеры обновили логику облака, чтобы предотвратить появление будущих предупреждений и устранить предыдущие ложные срабатывания.

«Начиная с утра 16 марта, клиенты могли столкнуться с серией ложных срабатываний, которые были приписаны обнаружению поведения Ransomware в файловой системе. Администраторы могли видеть, что ошибочные оповещения имели заголовок «В файловой системе обнаружено поведение Ransomware», а оповещения срабатывали на OfficeSvcMgr.exe», — заявили в Microsoft после сообщений пользователей.

«Наше расследование показало, что недавно развернутое обновление в компонентах служб, которые обнаруживают предупреждения о программах-рансомах, внесло ошибку в код, из-за которой предупреждения срабатывали при отсутствии проблемы. Мы развернули обновление кода, чтобы устранить проблему и гарантировать, что новые оповещения не будут отправляться, и мы повторно обработали накопившиеся оповещения, чтобы полностью устранить последствия».

После развертывания обновления облачной логики некорректные оповещения об активности вымогательского ПО больше не будут генерироваться. Все зарегистрированные ложные срабатывания также должны автоматически удаляться с портала, не требуя вмешательства администраторов.

Ложные срабатывания, вызванные изменением кода

По данным Microsoft, проблема «могла потенциально затронуть» администраторов, которые пытались просмотреть предупреждения о вымогательстве в Microsoft Defender for Endpoint.

Первопричиной ложных срабатываний стало недавно развернутое обновление компонентов службы для обнаружения предупреждений о вредоносном ПО.

Оно внесло ошибку в код, из-за которой оповещения срабатывали без наличия в системе активности ransomware.

В ноябре Defender for Endpoint также блокировал открытие документов Office и запуск некоторых исполняемых файлов Office из-за еще одного ложного срабатывания, пометившего файлы полезной нагрузкой вредоносного ПО Emotet.

Месяц спустя он также ошибочно показал предупреждения о «фальсификации датчиков», связанные с недавно развернутым в компании сканером Microsoft 365 Defender для процессов Log4j.

С октября 2020 года администраторам пришлось столкнуться с другими подобными проблемами Defender for Endpoint, включая предупреждение о заражении сетевых устройств вирусом Cobalt Strike, а также предупреждение о том, что обновления Chrome являются бэкдорами PHP.

Последнее обновление 6 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии