fidye yazılımı

Microsoft Defender, Office Güncellemelerini Fidye Yazılımı Etkinliği Olarak Etiketliyor

Windows yöneticileri, bugün, sistemlerinde algılanan fidye yazılımı davranışına işaret eden uyarılarda Office güncellemelerinin kötü amaçlı olarak etiketlendiği bir Microsoft Defender for Endpoint yanlış pozitif dalgası tarafından vuruldu.

Windows sistem yöneticilerinin raporlarına göre [ 1234 ], bu birkaç saat önce olmaya başladı ve bazı durumlarda "fidye yazılımı uyarıları sağanakları"na yol açtı.

Raporların artmasının ardından Microsoft, Office güncellemelerinin yanlış pozitifler nedeniyle yanlışlıkla fidye yazılımı etkinliği olarak işaretlendiğini doğruladı.

Redmond, mühendislerinin gelecekteki uyarıların görünmesini önlemek ve önceki yanlış pozitifleri kaldırmak için bulut mantığını güncellediğini de sözlerine ekledi.

Microsoft, kullanıcıların raporlarını takiben "16 Mart sabahından itibaren müşteriler, dosya sisteminde bir Fidye Yazılım davranışı algılamasıyla ilişkilendirilen bir dizi yanlış pozitif algılamayla karşılaşmış olabilir. Yöneticiler, hatalı uyarıların başlığının 'Fidye yazılımı davranışı algılandı' şeklinde olduğunu görmüş olabilir. Dosya sistemi ve uyarılar OfficeSvcMgr.exe'de tetiklendi," dedi. 

"Araştırmamız, fidye yazılımı uyarılarını algılayan hizmet bileşenleri içinde yakın zamanda dağıtılan bir güncellemenin, hiçbir sorun yokken uyarıların tetiklenmesine neden olan bir kod sorununa yol açtığını tespit etti. Sorunu düzeltmek ve yeni uyarıların olmamasını sağlamak için bir kod güncellemesi dağıttık. gönderildi ve etkiyi tamamen gidermek için birikmiş uyarıları yeniden işledik."

Bulut mantığı güncellemesinin kullanıma sunulmasından sonra, hatalı fidye yazılımı etkinliği uyarıları artık oluşturulmayacak. Kaydedilen tüm yanlış pozitifler, yöneticilerin müdahalesine gerek kalmadan portaldan otomatik olarak temizlenmelidir.

Bir kod değişikliği tarafından tetiklenen yanlış pozitifler

Microsoft'a göre, sorun, Microsoft Defender for Endpoint'te fidye yazılımı uyarılarını görüntülemeye çalışan yöneticileri "potansiyel olarak etkilemiş olabilir".

Yanlış pozitiflerin temel nedeni, fidye yazılımı uyarılarını algılamak için hizmet bileşenleri içinde yakın zamanda dağıtılan bir güncellemeydi.

Bu, sistemde fidye yazılımı etkinliği olmadan uyarıların yanlışlıkla tetiklenmesine neden olan bir kod sorunu ortaya çıkardı.

Kasım ayında, Defender for Endpoint, Emotet kötü amaçlı yazılım yüklerini başka bir yanlış pozitif etiketleme nedeniyle Office belgelerinin açılmasını ve bazı Office yürütülebilir dosyalarının başlatılmasını da engelledi.

Bir ay sonra, şirketin Log4j süreçleri için yeni dağıtılan Microsoft 365 Defender tarayıcısıyla bağlantılı olarak yanlışlıkla "sensör kurcalama" uyarıları da gösterdi.

Ekim 2020'den bu yana yöneticiler, bir tanesi Cobalt Strike bulaşmış ağ cihazlarının uyarısı ve bir diğeri de Chrome güncellemelerinin PHP arka kapısı olarak işaretlenmesi dahil olmak üzere diğer benzer Defender for Endpoint sorunlarıyla uğraşmak zorunda kaldı.


Kaynak: https://www.bleepingcomputer.com/news/security/microsoft-defender-tags-office-updates-as-ransomware-activity/


Bu içerik ilginizi çektiyse LinkedIn ve Twitter hesaplarımı takip edebilir, daha fazla içeriğe erişebilirsiniz.


E-posta listesine katılın

Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.

Haber bültenine kaydolduğunuz için teşekkürler!

Something went wrong.

Yorum Bırakın

Microsoft Defender, Office Güncellemelerini Fidye Yazılımı Etkinliği Olarak Etiketliyor