ΑρχικήsecurityΤο Microsoft Defender τρομάζει τους admins με false positives Emotet

Το Microsoft Defender τρομάζει τους admins με false positives Emotet

Το Microsoft Defender for Endpoint αποκλείει επί του παρόντος το άνοιγμα των εγγράφων του Office και την εκκίνηση ορισμένων εκτελέσιμων αρχείων λόγω false positive επισήμανσης των αρχείων ως δυνητική ομαδοποίηση Emotet malware payload.

Microsoft Defender Emotet

Δείτε επίσης: Ποιες νέες καμπάνιες Emotet εμφανίζονται στα mailbox παγκοσμίως

Οι system admins των Windows αναφέρουν ότι αυτό συμβαίνει μετά το update των ορισμών της πλατφόρμας enterprise endpoint security της Microsoft (παλαιότερα γνωστή ως Microsoft Defender ATP) στην έκδοση 1.353.1874.0.

Όταν ενεργοποιηθεί, το Defender for Endpoint θα αποκλείσει το άνοιγμα του αρχείου και θα εμφανίσει ένα σφάλμα που αναφέρει ύποπτη δραστηριότητα που συνδέεται με το Win32/PowEmotet.SB ή το Win32/PowEmotet.SC.

“Βλέπουμε προβλήματα με την ενημέρωση ορισμού 1.353.1874.0 που εντοπίζει την εκτύπωση ως Win32/PowEmotet.SB”, είπε ένας admin.

“Βλέπουμε ότι αυτό εντοπίζεται για το Excel, οποιαδήποτε εφαρμογή του Office που χρησιμοποιεί MSIP.ExecutionHost.exe (AIP Sensitivity Client) και splwow64.exe”, πρόσθεσε ένας άλλος.

Ένας τρίτος επιβεβαίωσε τα προβλήματα με τα σημερινά definition updates: “Βλέπουμε την ίδια συμπεριφορά ειδικά με την έκδοση 1.353.1874.0 των definitions, που κυκλοφόρησε σήμερα και περιλάμβανε ένα definition για το Behavior:Win32/PowEmotet.SB & Behavior: Win32/PowEmotet.SC.”

Το BleepingComputer μπόρεσε να ενεργοποιήσει το false positive σε μια εικονική μηχανή Windows 10 με τις πιο πρόσφατες υπογραφές του Microsoft Defender, όπως φαίνεται παρακάτω.

Αν και η Microsoft δεν έχει κοινοποιήσει ακόμη πληροφορίες σχετικά με το τι προκαλεί αυτό, ο πιο πιθανός λόγος είναι ότι η εταιρεία έχει αυξήσει την ευαισθησία για τον εντοπισμό συμπεριφοράς που είναι παρόμοια με το Emotet στις ενημερώσεις που κυκλοφόρησαν σήμερα, γεγονός που καθιστά τη γενική μηχανή ανίχνευσης συμπεριφοράς του Defender πολύ ευαίσθητη σε false positives.

Δείτε επίσης: Το Emotet botnet επέστρεψε με τη βοήθεια του Trickbot

Η αλλαγή πιθανότατα προκλήθηκε από την πρόσφατη αναβίωση του botnet Emotet, αφού οι ερευνητικές ομάδες Cryptolaemus, GData και Advanced Intel άρχισαν να βλέπουν το TrickBot να ρίχνει loaders Emotet σε μολυσμένες συσκευές.

Microsoft Defender Emotet

Δείτε επίσης: FBI: Δημοσίευσε 4 εκατομμύρια διευθύνσεις email που συλλέχθηκαν από το Emotet

Η Microsoft είπε στο BleepingComputer ότι έχει επιδιορθώσει το πρόβλημα για χρήστες που είναι συνδεδεμένοι στο cloud και εργάζονται για μια επιδιόρθωση που θα κυκλοφορήσει σε όλους τους άλλους.

“Εργαζόμαστε για να επιλύσουμε ένα ζήτημα όπου ορισμένοι πελάτες ενδέχεται να αντιμετώπισαν μια σειρά από false positive ανιχνεύσεων. Το ζήτημα επιλύθηκε για πελάτες που συνδέονται με το cloud” αναφέρει εκπρόσωπος της Microsoft.

Ενημέρωση 30/11/21: Προστέθηκε η δήλωση της Microsoft.

Δείτε επίσης:

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS