Yakın zamanda yayınlanan bazı Microsoft Office güncellemelerinin, şirketin Defender for Endpoint platformunun siber saldırılar hakkında alarm vermesine neden olduğu konusunda uyardı.
Güvenlik aracının Office güncellemelerini olası fidye yazılımı davranışı olarak etiketlediği tespit edildi ve tedarik zinciri saldırılarının ne kadar yaygın olduğu göz önüne alındığında, insanların bunu ciddiye alması şaşırtıcı değil.
Microsoft hızlı tepki verdi, uyarıların aslında yalnızca yanlış bir pozitif uyarı olduğunu doğruladı ve sorunu hafifletmek için Defender’ı Endpoint için hızla değiştirdi.
Microsoft raporunda, “16 Mart sabahından başlayarak, müşteriler dosya sistemindeki bir Fidye Yazılım davranışı algılamasına atfedilen bir dizi yanlış pozitif algılamayla karşılaşmış olabilir” dedi. “Yöneticiler hatalı uyarıların ‘Dosya sisteminde fidye yazılımı davranışı algılandı’ başlığı ve uyarılar OfficeSvcMgr.exe’de tetiklendi.”
Ofis güncellemeleri
Şirket, sorunun hızlı bir şekilde ele alınan kodla ilgili bir sorunla ilgili olduğunu ekledi.
“Araştırmamız, fidye yazılımı uyarılarını algılayan hizmet bileşenleri içinde yakın zamanda dağıtılan bir güncellemenin, hiçbir sorun yokken uyarıların tetiklenmesine neden olan bir kod sorununa yol açtığını tespit etti. Sorunu düzeltmek ve yeni uyarıların olmamasını sağlamak için bir kod güncellemesi dağıttık. gönderildi ve etkiyi tamamen gidermek için birikmiş uyarıları yeniden işledik.”
Bu, Defender for Endpoint’in yanlış pozitiflerle ilgili sorunları ilk kez görmedi. Aralık 2021’in başlarında, virüsten koruma programı, kullanıcıların bazı Office dosyalarını açmasını ve çeşitli uygulamaları başlatmasını engelledi ve Emotet kötü amaçlı yazılımıyla ilgili yanlış pozitifleri tetikledi.
O zamanlar program, yazdırma işlerini Emotet kötü amaçlı yazılımının yanı sıra MSIP.ExecutionHost.exe ve slpwow64.exe kullanan herhangi bir Office uygulaması olarak algıladı.
Bunu takiben, Microsoft’un kötü amaçlı yazılımın yakın zamanda yeniden ortaya çıkması nedeniyle Emotet ve benzeri etkinlikleri algılamak için filtrelerinin hassasiyetini artırmaya çalıştığı bildirildi.
Ukrayna menşeili olduğuna inanılan Emotet’in, geçen yılın başında kolluk kuvvetlerinin Emotet altyapısının kontrolünü ele geçirmesi ve operasyonla bağlantılı kişileri tutukladığı bildirildikten sonra neredeyse tükenmişti.
Ancak Kasım 2021’in ortasından bu yana yeni Emotet örnekleri bir kez daha ortaya çıkmaya başladı. Bunlar önceki türe oldukça benzer, ancak farklı bir şifreleme şemasına sahipler ve TrickBot tarafından etkilenen makinelere teslim ediliyorlar.
Üzerinden: BleeBilgisayar
