3月16日,微软卫士终端版(Microsoft Defender for Endpoint)的一波误报令Windows系统管理员们大惊失色。在对系统进行勒索软件扫描时,Office更新居然被标记为恶意活动。
根据Windows系统管理员们的上报来看,几小时内这一问题已经遍地开花,引得“勒索软件警报此起彼伏”。
随着报告数量的激增,微软确认称,这次Office更新由于误报而被错误标记成了勒索软件活动。
微软还称,工程师们已经更新了云端逻辑,消除了原有误报,并避免未来再出现类似的警报。
微软在收到用户报告后表示,“自3月16日上午开始,客户可能经历一系列检测误报。这些检测旨在识别文件系统内的勒索软件活动。管理员们看到的误报标题为「在文件系统中检测到勒索软件活动」,触发警报的是OfficeSvcMgr.exe。”
“我们在调查中发现,检测勒索软件警报服务组件新近部署了一项更新,正是这项更新引入了代码问题,导致可能在没有问题时触发警报。我们已经发布代码更新纠正了问题,并确保后续不会出现新的警报提醒。我们也重新处理了积压警报,希望彻底消除此次意外造成的影响。”
云端逻辑更新之后,勒索软件活动误报确实不再出现。而且无需管理员干预,所有误报记录将会自动从门户中消除。
微软卫士的误报史
微软表示,该问题“可能会影响”在微软卫士终端版观察勒索软件活动的管理员。
引发误报的根本原因,是微软卫士最近在服务组件中部署了一项专门检测勒索软件警报的更新。
更新引入了一个代码问题,导致在系统上不存在勒索软件活动时,仍错误触发警报。
2021年11月,微软卫士就出现过类似的误报问题,导致正常文件被标记为Emotet恶意软件有效载荷,Office文档及部分Office可执行文件无法正常打开。
一个月后,微软卫士又将自家刚刚为Log4j进程部署的微软卫士365扫描程序标错,发出“传感器篡改”警报。
自从2020年10月以来,管理员们已经一次又一次面对微软卫士终端版的离谱表现,包括一次针对Cobalt Strike的网络设备感染警报、一次将Chrome更新标记为PHP后门的警报。
我们已就此事与微软发言人取得联系,对方表示目前无法发表任何评论。