Ein neues Update für Microsoft Office hat in seiner Cybersicherheitslösung Defender for Endpoint zu einem Fehlalarm geführt, hat das Unternehmen zugegeben.
Das Tool markierte die Updates als mögliches Ransomware-Verhalten, und angesichts der Verbreitung von Angriffen auf die Lieferkette ist es kein Wunder, dass die Leute es ernst nahmen.
Microsoft reagierte schnell, bestätigte, dass es sich bei dem Problem tatsächlich nur um einen Fehlalarm handelte, und änderte Defender for Endpoint schnell, um das Problem zu beheben.
„Seit dem Morgen des 16. März sind Kunden möglicherweise auf eine Reihe falsch positiver Erkennungen gestoßen, die auf eine verhaltensbezogene Erkennung von Ransomware im Dateisystem zurückzuführen sind“, sagte Microsoft in seinem Bericht. „Administratoren haben möglicherweise gesehen, dass die fehlerhaften Warnungen den Titel „Ransomware-Verhalten im Dateisystem erkannt“ hatten und dass die Warnungen auf OfficeSvcMgr.exe ausgelöst wurden.“
Codeprobleme
Das Unternehmen fügte hinzu, dass das Problem mit einem Problem mit dem Code zusammenhängt, das schnell behoben wurde.
„Unsere Untersuchung ergab, dass ein kürzlich bereitgestelltes Update der Servicekomponenten, die Ransomware-Warnungen erkennen, ein Codeproblem verursachte, das dazu führte, dass Warnungen ausgelöst wurden, obwohl keine Probleme vorlagen. Wir haben ein Code-Update implementiert, um das Problem zu beheben und sicherzustellen, dass keine neuen Warnungen vorliegen.“ gesendet wurden, und wir haben einen Rückstand an Warnungen erneut verarbeitet, um die Auswirkungen vollständig zu beheben.“
Dies ist nicht das erste Mal, dass Defender for Endpoint auf falsch positive Probleme stößt. Anfang Dezember 2021 hinderte das Antivirenprogramm Benutzer daran, bestimmte Office-Dateien zu öffnen und verschiedene Anwendungen auszuführen, was zu Fehlalarmen im Zusammenhang mit Emotet-Malware führte.
Damals erkannte das Programm Druckaufträge als Emotet-Malware sowie alle Office-Anwendungen, die MSIP.ExecutionHost.exe und slpwow64.exe verwenden.
Daraufhin versuchte Microsoft Berichten zufolge, die Sensitivität seiner Filter zu erhöhen, um Emotet und ähnliche Aktivitäten zu erkennen, aufgrund des jüngsten Wiederauflebens von Malware.
Emotet, von dem angenommen wird, dass es aus der Ukraine stammt, wäre Anfang letzten Jahres fast ausgestorben, nachdem die Strafverfolgungsbehörden die Kontrolle über die Infrastruktur von Emotet übernommen und angeblich mit der Operation in Verbindung stehende Personen festgenommen hatten.
Seit Mitte November 2021 erscheinen jedoch wieder neue Emotet-Samples. Diese sind dem vorherigen Stamm ziemlich ähnlich, haben aber ein anderes Verschlüsselungsschema und werden an TrickBot-infizierte Maschinen gesendet.
Via: BleepingComputer