Το Microsoft Defender επισημαίνει τις ενημερώσεις του Office ως δραστηριότητα ransomware

Συστήματα βασισμένα σε Windows αντιμετώπισαν σήμερα ένα κύμα ψευδών θετικών στοιχείων του Microsoft Defender for Endpoint. Για κάποιο λόγο, οι ενημερώσεις του Office επισημάνθηκαν ως κακόβουλες και πιο συγκεκριμένα σημάνθηκαν ως ransomware βάσει της συμπεριφοράς τους.

Σύμφωνα με αναφορές διαχειριστών συστήματος που αντιμετώπισαν αυτό το πρόβλημα, αυτό ξεκίνησε να συμβαίνει πριν από αρκετές ώρες και, σε ορισμένες περιπτώσεις, οδήγησε σε ειδοποιήσεις για ransomware σε καταιγιστικό ρυθμό. Μετά την αύξηση των αναφορών, η Microsoft επιβεβαίωσε ότι οι ενημερώσεις του Office επισημάνθηκαν κατά λάθος ως δραστηριότητα ransomware λόγω ψευδώς θετικών στοιχείων. Η εταιρία πρόσθεσε ότι οι μηχανικοί της ενημέρωσαν τη μηχανή εντοπισμού στο cloud για να αποτρέψουν την εμφάνιση μελλοντικών ειδοποιήσεων και να αφαιρέσουν τα προηγούμενα ψευδώς θετικά.

"Ξεκινώντας το πρωί της 16ης Μαρτίου, οι πελάτες μπορεί να αντιμετώπισαν μια σειρά ψευδώς θετικών ανιχνεύσεων που αποδίδονται σε ανίχνευση συμπεριφοράς Ransomware στο σύστημα αρχείων. Οι διαχειριστές μπορεί να είδαν ότι οι εσφαλμένες ειδοποιήσεις είχαν τίτλο "Συμπεριφορά ransomware ανιχνεύθηκε στο το σύστημα αρχείων» και οι ειδοποιήσεις ενεργοποιήθηκαν για το OfficeSvcMgr.exe», δήλωσε η Microsoft μετά τις αναφορές των χρηστών.

"Η έρευνά μας διαπίστωσε ότι μια πρόσφατα εφαρμοσμένη ενημέρωση σε στοιχεία υπηρεσίας που ανιχνεύει ειδοποιήσεις ransomware εισήγαγε ένα ζήτημα κώδικα που προκαλούσε την ενεργοποίηση ειδοποιήσεων όταν δεν υπήρχε πρόβλημα. Αναπτύξαμε μια ενημέρωση κώδικα για να διορθώσουμε το πρόβλημα και να διασφαλίσουμε ότι δεν θα υπάρχουν νέες ειδοποιήσεις στάλθηκαν και επεξεργαστήκαμε εκ νέου μια συσσώρευση ειδοποιήσεων για την πλήρη αποκατάσταση των επιπτώσεων."

Μετά την κυκλοφορία της ενημέρωσης της μηχανής εντοπισμού στο cloud, οι εσφαλμένες ειδοποιήσεις δραστηριότητας ransomware δεν θα δημιουργούνται πλέον. Όλα τα καταγεγραμμένα ψευδώς θετικά θα πρέπει επίσης να διαγράφονται αυτόματα από το portal, χωρίς να απαιτείται η παρέμβαση των διαχειριστών.