Saltar al contenido

Microsoft Defender está ahí para protegerlo… ¿contra las actualizaciones de Office?

1646226040 Hack de Nvidia vio detalles de empleados filtrados en linea
RebajasTOP. 1
Microsoft Surface Laptop Go - Ordenador portátil de 12.4' (Intel Core i5-1035G1, 8GB RAM, 128GB...
Microsoft Surface Laptop Go - Ordenador portátil de 12.4" (Intel Core i5-1035G1, 8GB RAM, 128GB...
Súper ligero, con apenas 1,11Kg, para llevar a todas partes; Pantalla táctil de 12.45 pulgadas, 1536x1024 pixels
519,83 EUR

Una nueva actualización de Microsoft Office ha provocado un falso positivo en su solución de ciberseguridad Defender for Endpoint, ha admitido la compañía.

La herramienta etiquetó las actualizaciones como un posible comportamiento de ransomware y, dada la prevalencia de los ataques a la cadena de suministro, no es de extrañar que la gente se lo tomara en serio.

Microsoft respondió rápidamente, confirmó que el problema era en realidad solo un falso positivo y modificó rápidamente Defender para Endpoint para mitigar el problema.

“A partir de la mañana del 16 de marzo, los clientes pueden haber encontrado una serie de detecciones de falsos positivos atribuidos a una detección de comportamiento de ransomware en el sistema de archivos”, dijo Microsoft en su informe. «Los administradores pueden haber visto que las alertas erróneas tenían el título ‘Comportamiento de ransomware detectado en el sistema de archivos’, y las alertas se activaron en OfficeSvcMgr.exe».

Los problemas del código

La compañía agregó que el problema se relaciona con un problema con el código que se resolvió rápidamente.

«Nuestra investigación reveló que una actualización implementada recientemente en los componentes del servicio que detectan alertas de ransomware introdujo un problema de código que provocaba que se activaran alertas cuando no había problemas presentes. Hemos implementado una actualización de código para solucionar el problema y asegurarnos de que no haya nuevas alertas. enviado, y hemos reprocesado una acumulación de alertas para abordar completamente el impacto».

Esta no es la primera vez que Defender for Endpoint encuentra problemas de falsos positivos. A principios de diciembre de 2021, el programa antivirus impidió que los usuarios abrieran ciertos archivos de Office y ejecutaran varias aplicaciones, lo que provocó falsos positivos relacionados con el malware Emotet.

En ese momento, el programa detectó trabajos de impresión como malware Emotet, así como cualquier aplicación de Office que usara MSIP.ExecutionHost.exe y slpwow64.exe.

Después de esto, según los informes, Microsoft intentó aumentar la sensibilidad de sus filtros para detectar Emotet y actividades similares, debido al reciente resurgimiento del malware.

Emotet, que se cree que se originó en Ucrania, casi se extinguió a principios del año pasado después de que las fuerzas del orden tomaron el control de la infraestructura de Emotet y presuntamente arrestaron a las personas vinculadas a la operación.

Sin embargo, desde mediados de noviembre de 2021, han comenzado a aparecer nuevamente nuevas muestras de Emotet. Estos son bastante similares a la cepa anterior, pero tienen un esquema de encriptación diferente y se envían a las máquinas infectadas con TrickBot.

Vía: BleepingComputer

Share This