Microsoft Defender detecta atualização do Office como atividade de ransomware
Não é a primeira vez que o serviço de defesa aciona administradores de sistemas de forma equivocada; em dezembro, foi a vez dos sensores ligados ao scanner Microsoft 365 DefenderBy - Liliane Nakagawa, 18 março 2022 às 15:03
O serviço de defesa em nuvem Microsoft Defender Endpoint (Microsoft Defender para Ponto de Extremidade) gerou uma onda de falsos positivos sobre as atualizações do Office na manhã desta quarta-feira (16), de acordo com os administradores de sistema Windows, gerando em alguns casos uma “enxurrada de alertas de ransomware”.
De acordo com o relato dos administradores, o incidente perdurou por várias horas. A confirmação da Microsoft veio posteriormente, confirmando que as atualizações do Office foram marcadas equivocadamente como atividade ransomware como equivocadas devido a falsos positivos.
Os alertas de ‘Comportamento de Ransomware detectado no sistema de arquivos’ recebidos pelos administradores foram acionados devido ao arquivo OfficeSvcMgr.exe. “Nossa investigação descobriu que uma atualização recentemente implantada dentro de componentes de serviço que detectam alertas de ransomware introduziu um problema de código que estava causando o acionamento de alertas quando nenhum problema estava presente. Nós implantamos uma atualização de código para corrigir o problema e garantir que nenhum novo alerta será enviado, e reprocessamos um backlog de alertas para remediar completamente o impacto”, explicou a Microsoft.
Mudança no código acionaram falsos positivos
Não é a primeira vez que o serviço de defesa para endpoint da Microsoft identifica executáveis do Office ameaças. Em novembro, o Defender bloqueou a abertura de documentos do Office e outros executáveis do Office por marcá-los como payloads do malware Emotet.
Um mês depois, ele mostrou alertas equivocados de “adulteração de sensores” ligados ao scanner Microsoft 365 Defender para processos Log4j, implantados pela empresa.
Administradores também tiveram outros problemas ligados ao Defender em 2020, como alerta de dispositivos de rede infectados com Cobalt Strike e outro marcando as atualizações do Chrome como backdoors PHP.
No caso mais recente, uma atualização implantada nos componentes do serviço para detectar ransomware foi a raiz dos falsos positivos.
A partir disso, um problema de código fez acionar alertas sem que uma atividade real de ransomware estivesse presente no sistema.
Via BleepingComputer
Comentários