3月16日,微软卫士终端版(Microsoft Defender for Endpoint)的一波误报令Windows系统管理员们大惊失落色。在对系统进行打单软件扫描时,Office更新居然被标记为恶意活动。
根据Windows系统管理员们的上报来看,几小时内这一问题已经各处着花,引得“打单软件警报此起彼伏”。
随着报告数量的激增,微软确认称,这次Office更新由于误报而被缺点标记成了打单软件活动。
微软还称,工程师们已经更新了云端逻辑,肃清了原有误报,并避免未来再涌现类似的警报。
微软在收到用户报告后表示,“自3月16日上午开始,客户可能经历一系列检测误报。这些检测旨在识别文件系统内的打单软件活动。管理员们看到的误报标题为「在文件系统中检测到打单软件活动」,触发警报的是OfficeSvcMgr.exe。”
“我们在调查中创造,检测打单软件警报做事组件新近支配了一项更新,正是这项更新引入了代码问题,导致可能在没有问题时触发警报。我们已经发布代码更新纠正了问题,并确保后续不会涌现新的警报提醒。我们也重新处理了积压警报,希望彻底肃清这次意外造成的影响。”
云端逻辑更新之后,打单软件活动误报确实不再涌现。而且无需管理员干预,所有误报记录将会自动从门户中肃清。
微软卫士的误报史
微软表示,该问题“可能会影响”在微软卫士终端版不雅观察打单软件活动的管理员。
引发误报的根本缘故原由,是微软卫士最近在做事组件中支配了一项专门检测打单软件警报的更新。
更新引入了一个代码问题,导致在系统上不存在打单软件活动时,仍缺点触发警报。
2021年11月,微软卫士就涌现过类似的误报问题,导致正常文件被标记为Emotet恶意软件有效载荷,Office文档及部分Office可实行文件无法正常打开。
一个月后,微软卫士又将自家刚刚为Log4j进程支配的微软卫士365扫描程序标错,发出“传感器修改”警报。
自从2020年10月以来,管理员们已经一次又一次面对微软卫士终端版的离谱表现,包括一次针对Cobalt Strike的网络设备传染警报、一次将Chrome更新标记为PHP后门的警报。
我们已就此事与微软发言人取得联系,对方表示目前无法揭橥任何评论。
参考来源:BleepingComputer.com
