Ένα κύμα από false positive ειδοποιήσεις χτύπησε τους χρήστες των Windows καθώς οι νέες ενημερώσεις του Office επισημάνθηκαν ως ransomware.
Σύμφωνα με αναφορές από τους admins των Windows, αυτό ξεκίνησε να συμβαίνει εδώ και αρκετό χρονικό διάστημα και σε μερικές περιπτώσεις οδήγησε σε μία πληθώρα ειδοποιήσεων ransomware. Μετά την αύξηση των αναφορών, η Microsoft επιβεβαίωσε ότι οι ενημερώσεις του Office επισημάνθηκαν κατά λάθος ως δραστηριότητα ransomware λόγω false positive.
Η Redmond πρόσθεσε ότι οι μηχανικοί της ενημέρωσαν το cloud έτσι ώστε να αποτρέψουν την εμφάνιση μελλοντικών ειδοποιήσεων και να αφαιρέσουν τα προηγούμενα false positive.
Η Microsoft δήλωσε ότι το πρωί της 16ης Μαρτίου οι χρήστες του λειτουργικού αντιμετώπισαν μια σειρά από false positives που αποδίδονται στην ανίχνευση συμπεριφοράς ransomware στο σύστημα αρχείων. Επίσης ανέφερε ότι οι εσφαλμένες ειδοποιήσεις περιέγραφαν ότι ανιχνεύθηκε συμπεριφορά ransomware στο σύστημα των αρχείων και οι ειδοποιήσεις ενεργοποιήθηκαν στο OfficeSvcMgr.exe. Συμπληρωματικά, με την έρευνά της, η εταιρεία έφτασε στο πόρισμα ότι μία από τις ενημερώσεις που αναπτύχθηκε για τα στοιχεία service, τα οποία αναγνωρίζουν την συμπεριφορά ransomware, παρουσίασε ένα πρόβλημα κώδικα που προκαλούσε την ενεργοποίηση ειδοποιήσεων ακόμα και όταν δεν υπήρχε κάποιο πρόβλημα. Ακολούθως, η Microsoft ανέπτυξε μια ενημέρωση κώδικα για να διορθωθεί το πρόβλημα και παράλληλα έχει επεξεργαστεί εκ νέου τις ειδοποιήσεις για να αποκατασταθούν οι επιπτώσεις.
Δείτε επίσης: DirectStorage API της Microsoft – έρχονται καλύτερες επιδόσεις στο gaming
Μετά την κυκλοφορία της ενημέρωσης του cloud, οι εσφαλμένες ειδοποιήσεις για ransomware δεν θα δημιουργούνται πλέον. Όλα τα καταγεγραμμένα false positives θα πρέπει επίσης να διαγράφονται αυτόματα χωρίς την παρέμβαση του χρήστη.
Σύμφωνα με την Microsoft, το ζήτημα μπορεί να έχει επηρεάσει τους χρήστες που προσπάθησαν να δουν τις ειδοποιήσεις ransomware στο Microsoft Defender για το Endpoint. Η βασική αιτία των false positive αποτελεσμάτων ήταν μια πρόσφατα αναπτυχθείσα ενημέρωση στα στοιχεία του service για τον εντοπισμό ειδοποιήσεων ransomware. Αυτό εισήγαγε ένα πρόβλημα στον κώδικα το οποίο προκάλεσε εσφαλμένα την ενεργοποίηση των ειδοποιήσεων χωρίς να υπάρχει δραστηριότητα ransomware στο σύστημα.
Τον Νοέμβριο, το Defender για το Endpoint απέκλεισε επιπρόσθετα και το άνοιγμα κάποιων εγγράφων Office καθώς και την εκκίνηση ορισμένων εκτελέσιμων αρχείων λόγω ενός ακόμη false positive που έβλεπε τα αρχεία σαν payloads του Emotet malware.
Δείτε επίσης: Η Microsoft προειδοποιεί να μην απεγκαταστήσετε το Microsoft Store
Παράλληλα, έναν μήνα αργότερα, η εφαρμογή έδειξε επίσης λανθασμένες ειδοποιήσεις για παραβίαση αισθητήρα (sensor tampering), οι οποίες συνδέονται με την εφαρμογή Microsoft 365 Defender scanner για τις διεργασίες Log4j.
Από τον Οκτώβριο του 2020, οι χρήστες έπρεπε να αντιμετωπίσουν παρόμοια θέματα του Defender για το Endpoint. Ένα από αυτά ήταν μια ειδοποίηση για συσκευές δικτύου που έχουν μολυνθεί από το Cobalt Strike και υπήρξε και άλλη μία λανθασμένη ειδοποίηση που επισημαίνει τις ενημερώσεις του Chrome ως backdoors PHP.
Πηγή: bleepingcomputer.com
