O serviço de defesa em nuvem Microsoft Defender Endpoint (Microsoft Defender para Ponto de Extremidade) gerou uma onda de falsos positivos sobre as atualizações do Office na manhã desta quarta-feira (16), de acordo com os administradores de sistema Windows, gerando em alguns casos uma “enxurrada de alertas de ransomware”.

Microsoft Defender detecta atualização do Office como atividade de ransomware

Imagem: Microsoft/Divulgação

De acordo com o relato dos administradores, o incidente perdurou por várias horas. A confirmação da Microsoft veio posteriormente, confirmando que as atualizações do Office foram marcadas equivocadamente como atividade ransomware como equivocadas devido a falsos positivos.

Microsoft Defender detecta atualização do Office como atividade de ransomware

Imagem: Reddit

Os alertas de ‘Comportamento de Ransomware detectado no sistema de arquivos’ recebidos pelos administradores foram acionados devido ao arquivo OfficeSvcMgr.exe. “Nossa investigação descobriu que uma atualização recentemente implantada dentro de componentes de serviço que detectam alertas de ransomware introduziu um problema de código que estava causando o acionamento de alertas quando nenhum problema estava presente. Nós implantamos uma atualização de código para corrigir o problema e garantir que nenhum novo alerta será enviado, e reprocessamos um backlog de alertas para remediar completamente o impacto”, explicou a Microsoft.

Mudança no código acionaram falsos positivos

Não é a primeira vez que o serviço de defesa para endpoint da Microsoft identifica executáveis do Office ameaças. Em novembro, o Defender bloqueou a abertura de documentos do Office e outros executáveis do Office por marcá-los como payloads do malware Emotet.

Um mês depois, ele mostrou alertas equivocados de “adulteração de sensores” ligados ao scanner Microsoft 365 Defender para processos Log4j, implantados pela empresa.

shutterstock_2091644737_

Imagem: Alexander Limbach/Shutterstock

Administradores também tiveram outros problemas ligados ao Defender em 2020, como alerta de dispositivos de rede infectados com Cobalt Strike e outro marcando as atualizações do Chrome como backdoors PHP.

No caso mais recente, uma atualização implantada nos componentes do serviço para detectar ransomware foi a raiz dos falsos positivos.

A partir disso, um problema de código fez acionar alertas sem que uma atividade real de ransomware estivesse presente no sistema.

 

Via BleepingComputer

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Subscribe
Notify of
0 Comentários
Inline Feedbacks
View all comments