Вчера Microsoft Defender for Endpoint, приложение для защиты от киберугроз, начало распознавать обновления Office как программы-вымогатели. Антивирус принял файл OfficeSvcMgr.exe за вредоносное ПО.
Проблема обнаружилась, когда системные администраторы начали получать попытки внедрения программ-вымогателей после обновления Microsoft Defender для Endpoint Antivirus. Как только количество жалоб достигло определенного предела, Microsoft начала работать над устранением сбоя и подтвердила, что это была «ложноположительная» реакция.
Представитель компании Стив Шольц обрисованный в общих чертах проблема в ветке Reddit, в которой говорится, что с утра 16 марта многие пользователи Microsoft Defender for Endpoint начали получать уведомления, связанные с активностью программ-вымогателей. Microsoft определила, что положительные результаты были ложными, и обновила «облачную логику», чтобы исправить проблему.
В одном из ответов в той же ветке Шольц объясняет, что проблема возникла из-за ошибок в коде.
Он написал:
к вашему сведению
Это было False/Positive и теперь исправлено. Пожалуйста, ознакомьтесь с подробностями ниже:
Начиная с утра 16 марта клиенты могут получать серию ложноположительных срабатываний из-за обнаружения программ-вымогателей в файловой системе. Microsoft исследовала этот всплеск обнаружений и определила, что это ложноположительные результаты. Microsoft обновила облачную логику, чтобы подавить ложные срабатывания.
Описание
• Клиенты могли столкнуться с серией ложных срабатываний, связанных с обнаружением программ-вымогателей в файловой системе.
• Корпорация Майкрософт обновила облачную логику, чтобы предотвратить создание предупреждений в будущем и устранить предыдущие ложные срабатывания.
Антивирусная программа "Защитник Майкрософт"
Антивирус Microsoft Defender недавно получил исправление для уязвимости, о которой сообщалось в новостях около месяца назад; хотя некоторые специалисты обнаружили его признаки около 8 лет назад. Эта уязвимость позволяла запускать произвольный вредоносный код без срабатывания предупреждений антивируса.
Принцип уязвимости относительно прост — она позволяет файлам вредоносных программ находиться в папках, недоступных для Microsoft Defender. Такие папки обычно используются для размещения обычных программ, которые по разным причинам вызывают ложные срабатывания антивируса, поэтому они не должны быть объектом сканирования.
Проблема с этим подходом заключается в том, что запись реестра, содержащая список таких исключений, была доступна группе «Все»; что означает, что локальные пользователи, независимо от их привилегий, могли его просматривать. Зная заранее, куда именно не будет смотреть Microsoft Defender; осталось только разместить вредоносное ПО в этих местах. Соответственно, эксплуатировать эту уязвимость могли только те, кто имел физический доступ к компьютеру.
Как сообщает ресурс BleepingComputer со ссылкой на эксперта по кибербезопасности SecGuru_OTX, эта уязвимость уже устранена. Специалист SentinelOne Антонио Кокомацци предполагает, что решение проблемы существует в обновлении Windows, выпущенном во вторник. Однако аналитик Уилл Дорманн заявил, что некоторые настройки системных разрешений изменились; без установки обновлений Windows — возможно, это произошло из-за Microsoft Defender.
Уязвимость затрагивает системы Windows 10 21H1 и Windows 10 21H2, но не затрагивает Windows 11.
(function(d, s, id) {
var js, fjs = d.getElementsByTagName(s)[0];
if (d.getElementById(id)) return;
js = d.createElement(s); js.id = id;
js.src="https://connect.facebook.net/en_US/sdk.js#xfbml=1&version=v3.2&appId=1623298447970991&autoLogAppEvents=1";
fjs.parentNode.insertBefore(js, fjs);
}(document, 'script', 'facebook-jssdk'));
Вчера Microsoft Defender for Endpoint, приложение для защиты от киберугроз, начало распознавать обновления Office как программы-вымогатели. Антивирус принял файл OfficeSvcMgr.exe за вредоносное ПО.
Проблема обнаружилась, когда системные администраторы начали получать попытки внедрения программ-вымогателей после обновления Microsoft Defender для Endpoint Antivirus. Как только количество жалоб достигло определенного предела, Microsoft начала работать над устранением сбоя и подтвердила, что это была «ложноположительная» реакция.
Представитель компании Стив Шольц обрисованный в общих чертах проблема в ветке Reddit, в которой говорится, что с утра 16 марта многие пользователи Microsoft Defender for Endpoint начали получать уведомления, связанные с активностью программ-вымогателей. Microsoft определила, что положительные результаты были ложными, и обновила «облачную логику», чтобы исправить проблему.
В одном из ответов в той же ветке Шольц объясняет, что проблема возникла из-за ошибок в коде.
Он написал:
к вашему сведению
Это было False/Positive и теперь исправлено. Пожалуйста, ознакомьтесь с подробностями ниже:Начиная с утра 16 марта клиенты могут получать серию ложноположительных срабатываний из-за обнаружения программ-вымогателей в файловой системе. Microsoft исследовала этот всплеск обнаружений и определила, что это ложноположительные результаты. Microsoft обновила облачную логику, чтобы подавить ложные срабатывания.
Описание
• Клиенты могли столкнуться с серией ложных срабатываний, связанных с обнаружением программ-вымогателей в файловой системе.
• Корпорация Майкрософт обновила облачную логику, чтобы предотвратить создание предупреждений в будущем и устранить предыдущие ложные срабатывания.
Антивирусная программа "Защитник Майкрософт"
Антивирус Microsoft Defender недавно получил исправление для уязвимости, о которой сообщалось в новостях около месяца назад; хотя некоторые специалисты обнаружили его признаки около 8 лет назад. Эта уязвимость позволяла запускать произвольный вредоносный код без срабатывания предупреждений антивируса.
Принцип уязвимости относительно прост — она позволяет файлам вредоносных программ находиться в папках, недоступных для Microsoft Defender. Такие папки обычно используются для размещения обычных программ, которые по разным причинам вызывают ложные срабатывания антивируса, поэтому они не должны быть объектом сканирования.
Проблема с этим подходом заключается в том, что запись реестра, содержащая список таких исключений, была доступна группе «Все»; что означает, что локальные пользователи, независимо от их привилегий, могли его просматривать. Зная заранее, куда именно не будет смотреть Microsoft Defender; осталось только разместить вредоносное ПО в этих местах. Соответственно, эксплуатировать эту уязвимость могли только те, кто имел физический доступ к компьютеру.
Как сообщает ресурс BleepingComputer со ссылкой на эксперта по кибербезопасности SecGuru_OTX, эта уязвимость уже устранена. Специалист SentinelOne Антонио Кокомацци предполагает, что решение проблемы существует в обновлении Windows, выпущенном во вторник. Однако аналитик Уилл Дорманн заявил, что некоторые настройки системных разрешений изменились; без установки обновлений Windows — возможно, это произошло из-за Microsoft Defender.
Уязвимость затрагивает системы Windows 10 21H1 и Windows 10 21H2, но не затрагивает Windows 11.
