Search the Community

Οι εταιρίες που χρησιμοποιούν το Microsoft Defender for Endpoint θα μπορούν πλέον να απομονώνουν συσκευές Linux από τα δίκτυά τους για να περιορίζουν τυχόν εισβολές και οτιδήποτε άλλο μπορεί να προκύψει. Η δυνατότητα απομόνωσης συσκευής είναι σε δημόσια προεπισκόπηση και αντικατοπτρίζει αυτό που κάνει ήδη το προϊόν για τα συστήματα με Windows. «Ορισμένα σενάρια επίθεσης μπορεί να απαιτήσουν από εσάς να απομονώσετε μια συσκευή από το δίκτυο», έγραψε η Microsoft σε μια ανάρτηση ιστολογίου. "Αυτή η ενέργεια μπορεί να βοηθήσει στην αποτροπή του εισβολέα από τον έλεγχο της παραβιασμένης συσκευής και την εκτέλεση περαιτέρω δραστηριοτήτων, όπως η εξαγωγή δεδομένων και η περαιτέρω διείσδυση." Οι εισβολείς δεν θα μπορούν να συνδεθούν με τη συσκευή ή να εκτελέσουν λειτουργίες όπως η ανάληψη μη εξουσιοδοτημένου ελέγχου του συστήματος ή η κλοπή ευαίσθητων δεδομένων, ισχυρίζεται η Microsoft. Σύμφωνα με τον προμηθευτή, όταν η συσκευή είναι απομονωμένη, περιορίζεται στις διαδικασίες και στους προορισμούς Ιστού που επιτρέπονται. Αυτό σημαίνει ότι αν βρίσκονται πίσω από μια πλήρη σήραγγα VPN, δεν θα μπορούν να προσεγγίσουν τις υπηρεσίες cloud της Microsoft Defender for Endpoint. Η Microsoft συνιστά στις επιχειρήσεις να χρησιμοποιούν ένα split-tunneling VPN για κίνηση που βασίζεται σε σύννεφο και για το Defender for Endpoint και για το Defender Antivirus. Μόλις ξεκαθαριστεί η κατάσταση που προκάλεσε την απομόνωση, οι οργανισμοί θα μπορούν να επανασυνδέσουν τη συσκευή στο δίκτυο. Η απομόνωση του συστήματος γίνεται μέσω API. Οι χρήστες μπορούν να μεταβούν στη σελίδα συσκευής των συστημάτων Linux μέσω της πύλης Microsoft 365 Defender, όπου θα δουν μια καρτέλα "Απομόνωση συσκευής" επάνω δεξιά μεταξύ των άλλων ενεργειών. Η Microsoft έχει παρουσιάσει τα API τόσο για την απομόνωση της συσκευής όσο και για την απελευθέρωσή της από το κλείδωμα. Οι συσκευές Linux που μπορούν να χρησιμοποιήσουν το Defender για Endpoint περιλαμβάνουν τις Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, Debian, SUSE Linux, Oracle Linux, Amazon Web Services (AWS) Linux και Fedora. Η απομόνωση συσκευών Linux είναι το πιο πρόσφατο χαρακτηριστικό ασφαλείας που έχει θέσει η Microsoft στην υπηρεσία cloud. Νωρίτερα αυτό το μήνα, η εταιρεία επέκτεινε την προστασία από παραβιάσεις για το Defender for Endpoint για να συμπεριλάβει εξαιρέσεις προστασίας από ιούς. Όλα αυτά αποτελούν μέρος ενός ευρύτερου σχεδίου ενίσχυσης του Defender με προσοχή στον ανοιχτό κώδικα. Στην έκθεσή της στο Ignite τον Οκτώβριο του 2022, η Microsoft ανακοίνωσε ότι ενσωματώνει την πλατφόρμα παρακολούθησης δικτύου ανοιχτού κώδικα Zeek ως στοιχείο του Defender for Endpoint για βαθιά επιθεώρηση πακέτων της κυκλοφορίας δικτύου. Επίσης στην εκδήλωση, η εταιρία μίλησε για τις νέες δυνατότητες που στοχεύουν να επιτρέψουν στις ομάδες επιχειρήσεων ασφαλείας να ανιχνεύουν νωρίτερα επιθέσεις εντολής και ελέγχου (C2), επιτρέποντάς τους να περιορίσουν την εξάπλωση της ζημιάς και να αφαιρέσουν κακόβουλα αρχεία. Η νέα λειτουργικότητα έρχεται επίσης μόλις δύο εβδομάδες αφότου οι ενημερώσεις στο Defender for Endpoint τρόμαξαν τους επαγγελματίες ασφαλείας –την Παρασκευή 13– αφαιρώντας ακούσια εικονίδια και συντομεύσεις εφαρμογών από την επιφάνεια εργασίας, τη γραμμή εργασιών και το μενού Έναρξης στα συστήματα Windows 10 και 11. Η Microsoft διόρθωσε το πρόβλημα, αλλά ακόμα και πάλι κάποιοι χρήστες έχασαν ορισμένα αρχεία.

Συστήματα βασισμένα σε Windows αντιμετώπισαν σήμερα ένα κύμα ψευδών θετικών στοιχείων του Microsoft Defender for Endpoint. Για κάποιο λόγο, οι ενημερώσεις του Office επισημάνθηκαν ως κακόβουλες και πιο συγκεκριμένα σημάνθηκαν ως ransomware βάσει της συμπεριφοράς τους. Σύμφωνα με αναφορές διαχειριστών συστήματος που αντιμετώπισαν αυτό το πρόβλημα, αυτό ξεκίνησε να συμβαίνει πριν από αρκετές ώρες και, σε ορισμένες περιπτώσεις, οδήγησε σε ειδοποιήσεις για ransomware σε καταιγιστικό ρυθμό. Μετά την αύξηση των αναφορών, η Microsoft επιβεβαίωσε ότι οι ενημερώσεις του Office επισημάνθηκαν κατά λάθος ως δραστηριότητα ransomware λόγω ψευδώς θετικών στοιχείων. Η εταιρία πρόσθεσε ότι οι μηχανικοί της ενημέρωσαν τη μηχανή εντοπισμού στο cloud για να αποτρέψουν την εμφάνιση μελλοντικών ειδοποιήσεων και να αφαιρέσουν τα προηγούμενα ψευδώς θετικά. "Ξεκινώντας το πρωί της 16ης Μαρτίου, οι πελάτες μπορεί να αντιμετώπισαν μια σειρά ψευδώς θετικών ανιχνεύσεων που αποδίδονται σε ανίχνευση συμπεριφοράς Ransomware στο σύστημα αρχείων. Οι διαχειριστές μπορεί να είδαν ότι οι εσφαλμένες ειδοποιήσεις είχαν τίτλο "Συμπεριφορά ransomware ανιχνεύθηκε στο το σύστημα αρχείων» και οι ειδοποιήσεις ενεργοποιήθηκαν για το OfficeSvcMgr.exe», δήλωσε η Microsoft μετά τις αναφορές των χρηστών. "Η έρευνά μας διαπίστωσε ότι μια πρόσφατα εφαρμοσμένη ενημέρωση σε στοιχεία υπηρεσίας που ανιχνεύει ειδοποιήσεις ransomware εισήγαγε ένα ζήτημα κώδικα που προκαλούσε την ενεργοποίηση ειδοποιήσεων όταν δεν υπήρχε πρόβλημα. Αναπτύξαμε μια ενημέρωση κώδικα για να διορθώσουμε το πρόβλημα και να διασφαλίσουμε ότι δεν θα υπάρχουν νέες ειδοποιήσεις στάλθηκαν και επεξεργαστήκαμε εκ νέου μια συσσώρευση ειδοποιήσεων για την πλήρη αποκατάσταση των επιπτώσεων." Μετά την κυκλοφορία της ενημέρωσης της μηχανής εντοπισμού στο cloud, οι εσφαλμένες ειδοποιήσεις δραστηριότητας ransomware δεν θα δημιουργούνται πλέον. Όλα τα καταγεγραμμένα ψευδώς θετικά θα πρέπει επίσης να διαγράφονται αυτόματα από το portal, χωρίς να απαιτείται η παρέμβαση των διαχειριστών.

Καταγγελία κατέθεσε στην Ευρωπαϊκή Ένωση και στη Ρωσία ο Eugene Kaspersky ισχυριζόμενος ότι τα Windows 10 δεν διαχειρίζονται δίκαια τα προγράμματα antivirus. Σύμφωνα με τον ιδρυτή του Κaspersky, σε μία ανάρτησή του, η Microsoft αυτόματα κάνει απεγκατάσταση των μη συμβατών προγραμμάτων antivirus όταν κάποιος αναβαθμίζει στο νέο λειτουργικό σύστημα της εταιρίας. Πολλές φορές το λειτουργικό σύστημα ακόμα και αν βρει συμβατό antivirus το απενεργοποιεί και ενεργοποιεί τον Windows Defender. Ο Eugene Kaspersky ισχυρίζεται ότι οι κατασκευαστές προγραμμάτων antivirus δεν έχουν αρκετό χρόνο, πριν κυκλοφορήσουν οι νέες εκδόσεις των Windows, μία εβδομάδα στη συγκεκριμένη περίπτωση, για να τροποποιήσουν τις εφαρμογές τους ώστε να είναι συμβατές. Επιπλέον τα antivirus με ληγμένες άδειες δεν ειδοποιούν τον χρήστη εγκαίρως αλλά τρις ημέρες μετά τη λήξη τους και έτσι ο Windows Defender ενεργοποιείτε αυτόματα χωρίς να ενημερωθεί ο χρήστης. Αν δικαιωθεί η εταιρία, η Microsoft θα υποχρεωθεί να ειδοποιεί τους χρήστες για τυχόν ασυμβατότητες, αποκλείοντας έτσι δυσάρεστες εκπλήξεις. Η Microsoft θα πρέπει να ζητάει την άδεια του χρήστη για να ενεργοποιεί τον Windows Defender, δίνοντας έτσι χρόνο στους developers να κάνουν τις εφαρμογές τους συμβατές. H Microsoft εξέδωσε ανακοίνωση σχετικά με τους ισχυρισμούς αυτούς : "Η Microsoft Russia και το Kaspersky Lab έχουν καλή συνεργασία για πολλά χρόνια σε διάφορους τομείς. Η Microsoft έχει δεσμευτεί να εργάζεται σύμφωνα με τους Ρωσικούς νόμους. Η εταιρία δεν έχει λάβει επισήμως κάποια διαμαρτυρία από τη Αντιμονοπωλιακή Επιτροπή. Μόλις τη λάβουμε θα τη μελετήσουμε προσεκτικά."

Πραγματοποιήθηκαν τεστ σε σύνολο 24 προγραμμάτων για καταναλωτές σε σενάρια πραγματικής χρήσης που περιελάμβαναν την αξιολόγηση σε τομείς όπως προστασία, χρηστικότητα και επιδόσεις. Συνολικά το μεγαλύτερο σκορ που θα μπορούσε να συγκεντρώσει κάθε προϊόν θα ήταν 18 βαθμοί, 6 για κάθε κατηγορία. Οι βαθμοί για την προστασία αφορούσαν προστασία από zero-day επιθέσεις κακόβουλου λογισμικού αλλά και εντοπισμό τέτοιου λογισμικού από τον περασμένο μήνα. Για τις επιδόσεις οι δοκιμές που πραγματοποιήθηκαν αφορούσαν την επιβάρυνση του συστήματος σε πραγματικές συνθήκες όπως όταν επισκεπτόμαστε μια σελίδα ή κατεβάζουμε κάποιο πρόγραμμα ή αντιγράφουμε αρχεία. Για τη χρηστικότητα βαθμούς έπαιρνε ή έχανε το anti-virus όταν εντόπιζε κάποιο false positive, μία δηλαδή λάθος αναφορά ιού. Τα Avira, Kaspersky, Bitdefender, Symantec, Trend Micro, Comodo, G Data, F-Secure, Panda Free και Ahnlab συγκέντρωσαν όλα 6 βαθμούς για την προστασία που παρείχαν. Δυστυχώς το Windows Defender το οποίο είναι ενσωματωμένο στα Windows 8.1, ;ήταν το μόνο που δεν συγκέντρωσε καθόλου βαθμούς και εντόπισε μόνο το 70 τοις εκατό από τα malware του Σεπτεμβρίου και του Οκτωβρίου. Το ποσοστό εντοπισμού ιών για τις τελευταίες τέσσερις εβδομάδες ήταν 80 τοις εκατό. Αντίθετα τα καλύτερα προγράμματα είχαν ποσοστό 100 τοις εκατό. Όσον αφορά την επιβάρυνση του συστήματος λίγα προγράμματα κατάφεραν το άριστα. Μόνο τα Avira, Kaspersky Labs, Bitdefender και Kingsoft μάζεψαν 6 βαθμούς. Το Windows Defender ήταν κάπου στη μέση με 4.5 βαθμούς. Στις λανθασμένες αναφορές για malware (false positive) το Windows Defender μάζεψε δυστυχώς και τους 6 βαθμούς, χωρίς όμως να ήταν το μόνο που είχε αυτή την αρνητική πρωτιά. Μετά την πραγματοποίηση των δοκιμών μόνο το Avira και το Kaspersky Labs κατάφερε να περάσει με άριστα 18. Τα Windows Defender και ThreatTrack δεν πήραν την πιστοποίηση από το AV-Test, το οποίο δίδεται μόνο σε όλα antivirus προϊόντα συγκεντρώσουν πάνω από 10 βαθμούς συνολικά και τουλάχιστον 1 βαθμό για κάθε τεστ.