Microsoft Defender 是近年來微軟在個人、企業與教育版本上面主力推動的自家防護機制,因為不需安裝其他防毒軟體為大家省了很多麻煩。近日有 Microsoft Defender 端點防護的使用者在論壇上回報了一波誤報的狀況,其中就把自家的 Office 更新標記為勒索軟體活動。
Microsoft Defender 將自家 Office 更新錯誤標記為勒索軟體活動
剛開始,在 Windows 的論壇上面有系統管理員少量回報 Microsoft Defender 端點防護的誤報問題,這種情況在回報前幾個小時前就已經開始發生,並且大量引發勒索軟體警報,在回報激增後,微軟調查證實,由於誤報的關係, Office 更新被當作勒索軟體活動標記。
這個問題大概從 3/16 開始發生在用戶身上,這些警示歸因於文件系統中的勒索軟體行為檢測,管理員可能已經看到錯誤警報的標題為「在文件系統中檢測到勒索軟體行為」,且該警報是在 OfficeSvcMgr.exe 上觸發。經過微軟調查發現,最近在檢測勒索軟體服務元件中部署的更新出現一個程式碼的問題,導致在沒有問題時也觸發了警報,而微軟已經更新了程式碼與雲端邏輯來糾正,並確保在重新處理積壓的警報後不會再有新的錯誤警報發出。整個程式更新後,不正確的勒索軟體警報將不再產生,原本記錄的誤報也會自動從系統中清除,無需管理員手動移除。
Microsoft Defender 端點防護的誤報這並不是第一次發生。在去年 11 月時,Microsoft Defender 端點防護還阻止了 Office Word 的啟動,以及某些 Office 文件的開啟,原因是另一個誤報把它們標計為 Emptet 惡意軟體的有效負載。在 12 月份,它來錯誤地警示「監測器篡改」警報,此警報與該公司新部署用於 Log4j 進程的 Microsoft 365 Defender 掃描程式相關。
從 2020 年 10 月以來,系統管理員不得不處理其他類似的 Microsoft Defender 端點防護的問題,其中還包含一個感染了 Cobalt Strike 的網路設備警報,另一個問題則是將 Chrome 的更新標記為 PHP 後門的警報。只能說,這誤報的出現機率好像有點高啊!