Los administradores de Windows se vieron afectados hoy por una ola de falsos positivos de Microsoft Defender para Endpoint donde las actualizaciones de Office se etiquetaron como maliciosas en alertas que apuntaban al comportamiento de ransomware detectado en sus sistemas.
Según los informes de los administradores del sistema de Windows [ 1 , 2 , 3 , 4 ], esto comenzó a suceder hace varias horas y, en algunos casos, provocó una «lluvia de alertas de ransomware».
Tras la oleada de informes, Microsoft confirmó que las actualizaciones de Office se marcaron por error como actividad de ransomware debido a falsos positivos.
Redmond agregó que sus ingenieros actualizaron la lógica de la nube para evitar que aparezcan futuras alertas y eliminar los falsos positivos anteriores.
«A partir de la mañana del 16 de marzo, los clientes pueden haber experimentado una serie de detecciones de falsos positivos que se atribuyen a una detección de comportamiento de ransomware en el sistema de archivos. Los administradores pueden haber visto que las alertas erróneas tenían el título de ‘Comportamiento de ransomware detectado en el sistema de archivos’, y las alertas se activaron en OfficeSvcMgr.exe», dijo Microsoft siguiendo los informes de los usuarios.
«Nuestra investigación encontró que una actualización implementada recientemente dentro de los componentes del servicio que detectan alertas de ransomware introdujo un problema de código que provocaba que se activaran las alertas cuando no había ningún problema presente. Implementamos una actualización de código para corregir el problema y asegurarnos de que no haya nuevas alertas. enviado, y hemos vuelto a procesar una acumulación de alertas para remediar completamente el impacto».
Después del lanzamiento de la actualización de la lógica de la nube, ya no se generarán las alertas de actividad de ransomware incorrectas. Todos los falsos positivos registrados también deberían borrarse automáticamente del portal sin requerir la intervención de los administradores.
Falsos positivos provocados por un cambio de código
Según Microsoft, el problema «puede haber afectado potencialmente» a los administradores que intentaron ver las alertas de ransomware en Microsoft Defender para Endpoint.
La causa raíz de los falsos positivos fue una actualización implementada recientemente dentro de los componentes del servicio para detectar alertas de ransomware.
Esto introdujo un problema de código que provocó que las alertas se activaran incorrectamente sin que hubiera actividad de ransomware en el sistema.
En noviembre, Defender for Endpoint también bloqueó la apertura de documentos de Office y el lanzamiento de algunos ejecutables de Office debido a otro falso positivo que etiquetaba los archivos de las cargas útiles del malware Emotet .
Un mes después, también mostró por error alertas de «manipulación del sensor» vinculadas al escáner Microsoft 365 Defender recientemente implementado por la empresa para los procesos de Log4j.
Desde octubre de 2020, los administradores han tenido que lidiar con otros problemas similares de Defender for Endpoint, incluida una alerta de dispositivos de red infectados con Cobalt Strike y otra que marca las actualizaciones de Chrome como puertas traseras de PHP .
Un portavoz de Microsoft no estaba disponible para hacer comentarios cuando BleepingComputer se puso en contacto con ellos el día de hoy.
Fuente: https://www.bleepingcomputer.com