Microsoft Defender menandai pembaruan Office sebagai aktivitas ransomware

Post a Comment
Admin Windows hari ini dilanda deteksi positif palsu Microsoft Defender untuk Endpoint di mana pembaruan Office ditandai sebagai berbahaya dalam peringatan yang menunjukkan perilaku ransomware yang terdeteksi di sistem mereka.
Menurut laporan admin sistem Windows, ini mulai terjadi beberapa jam yang lalu dan, dalam beberapa kasus, ini menyebabkan "downpour of ransomware alerts."
Menyusul laporan, Microsoft mengkonfirmasi pembaruan Office secara keliru ditandai sebagai aktivitas ransomware karena positif palsu.
Redmond menambahkan bahwa para insinyurnya memperbarui logika cloud untuk mencegah peringatan di masa mendatang muncul dan menghapus kesalahan positif sebelumnya.
"Mulai pada pagi hari tanggal 16 Maret, pelanggan mungkin telah mengalami serangkaian deteksi positif palsu yang dikaitkan dengan deteksi perilaku Ransomware di sistem file. Admin mungkin telah melihat bahwa peringatan yang salah dengan judul 'Ransomware behavior detected in the file system,' dan peringatan dipicu oleh OfficeSvcMgr.exe," kata Microsoft mengikuti laporan pengguna.
"Penyelidikan kami menemukan bahwa pembaruan yang baru-baru ini digunakan dalam komponen layanan yang mendeteksi peringatan ransomware memperkenalkan masalah kode yang menyebabkan peringatan dipicu ketika tidak ada masalah. Kami menerapkan pembaruan kode untuk memperbaiki masalah dan memastikan bahwa tidak ada peringatan baru yang akan muncul. Dan kami telah memproses ulang tumpukan peringatan untuk memulihkan dampak sepenuhnya."
Setelah peluncuran pembaruan cloud logic, peringatan aktivitas ransomware yang salah tidak akan dibuat lagi. Semua positif palsu yang dicatat juga harus secara otomatis dihapus dari portal tanpa memerlukan campur tangan admin.

Positif palsu dipicu oleh perubahan kode

Menurut Microsoft, masalah "mungkin berpotensi mempengaruhi" admin yang mencoba melihat peringatan ransomware di Microsoft Defender untuk Endpoint.
Akar penyebab positif palsu adalah pembaruan yang baru-baru ini diterapkan dalam komponen layanan untuk mendeteksi peringatan ransomware.
masalah kode yang salah menyebabkan peringatan dipicu tanpa aktivitas ransomware yang ada di sistem.
Pada bulan November, Defender untuk Endpoint juga memblokir pembukaan dokumen Office dan beberapa executable Office dari peluncuran karena kesalahan tag positif lainnya pada file muatan malware Emotet.
Satu bulan kemudian, itu juga secara keliru menunjukkan peringatan "sensor tempering" yang ditautkan ke pemindai Microsoft 365 Defender yang baru digunakan perusahaan untuk proses Log4j.
Sejak Oktober 2020, admin harus berurusan dengan masalah Defender untuk Endpoint serupa lainnya, termasuk satu peringatan perangkat jaringan yang terinfeksi Cobalt Strike dan satu lagi yang menandai pembaruan Chrome sebagai backdoor PHP.

Baca

Post a Comment

Subscribe Our Newsletter