Microsoft Defender, czyli wbudowane oprogramowanie antywirusowe Windowsa, od dawien dawna jest obiektem wielu kpin. W ostatnich latach jego reputacja zaczęła minimalnie się poprawiać… aczkolwiek wciąż jest sporo do poprawy, jeśli weźmiemy pod uwagę, że Defender oznaczył Office, czyli program tego samego producenta, jako złośliwe oprogramowanie.
Microsoft Office stwierdził, że Office to ransomware
Microsoft Office to doskonale większości osób znany edytor tekstowy – aplikacja raczej zaufana, w każdym razie na pewno z perspektywy jej twórców. Tym bardziej kuriozalne jest, że Microsoft Defender for Endpoint (narzędzie do ochrony punktu końcowego) sklasyfikował Office’a jako złośliwe oprogramowanie.
Dokładniej mówiąc, jako ransomware, czyli typ złośliwego oprogramowania, który szyfruje określone (lub wszystkie) dane i żąda okupu za ich odblokowanie. Administratorzy systemów zostali rzekomo wręcz “zalani” powiadomieniami o wykryciu niebezpiecznego oprogramowania.
Żadnego prawdziwego zagrożenia nie było, a całość okazała się pomyłką. Szybko wychwycili ją pracownicy Microsoftu, fałszywe pozytywy zostały usunięte i kolejne alerty tego typu nie powinny się już pojawiać.
Począwszy od rana 16 marca klienci mogli doświadczyć serii fałszywych pozytywnych wykryć, które dotyczyły wykrycia zachowania typu ransomware w systemie plików. Administratorzy mogli zauważyć, że błędne alerty miały tytuł „wykryto zachowanie ransomware w systemie plików” i pochodziły z programu OfficeSvcMgr.exe – Microsoft
Problem spowodowała zmiana kodu
Microsoft przyznał, że problem wyniknął z niedawnej zmiany kodu Microsoft Defendera, a konkretnie aktualizacji elementów usługi, które miały odpowiadać za wykrywanie złośliwego oprogramowania typu ransomware.
Nasze dochodzenie wykazało, że niedawno wdrożona aktualizacja składników usług, która wykrywa alerty dotyczące oprogramowania ransomware, wprowadziła problem z kodem, który powodował wysyłanie powiadomień, gdy nie występował żaden problem.
Wdrożyliśmy aktualizację kodu, aby rozwiązać problem i upewnić się, że nie będą wysyłane żadne nowe powiadomienia, a także ponownie przetworzyliśmy zaległe powiadomienia, aby całkowicie wyeliminować jego skutki – Microsoft
To nie pierwsza tego typu pomyłka Defendera – i nawet nie pierwsza związana z Microsoft Office.
W listopadzie 2021 to oprogramowanie antywirusowe zaczęło uniemożliwiać otwieranie dokumentów tekstowych w Office z powodu błędnego wykrycia złośliwego oprogramowania. Wtedy chodziło nie o ransomware, a o rzekome wykrycie konia trojańskiego o nazwie Emotet.
Swego czasu Defender miał też problem z błędnym oznaczaniem aktualizacji do przeglądarki Google Chrome jako backdoory PHP (narzędzia pozwalające uzyskać nieautoryzowany dostęp do komputera).
Trudno się więc dziwić, że Defender ma taką, a nie inną reputację… a Wy kiedykolwiek mieliście z nim jakiś problem?
WARTO PRZECZYTAĆ: