Los administradores del sistema operativo Windows se han visto afectados recientemente por una falsa ola de falsos positivos de Microsoft Defender para Endpoint en donde se catalogaron las actualizaciones de Office como maliciosas, las cuales apuntaban un comportamiento de ransomware.
De acuerdo a los informes emitidos por los administradores del sistema operativo Windows, estos falsos positivos comenzaron a aparecer hace apenas horas y que en algunos casos provoco una lluvia de alertas de ransomware.
Una actualización de Office provoca falsos positivos en Microsoft Defender
Como era de esperarse, tras la ola de informes procedentes de los administradores, Microsoft confirmo que las actualizaciones de Office se marcaron por error como una actividad maliciosa debido a un falso positivo. La compañía también agrego que sus ingenieros actualizaron la lógica de la nube para evitar que aparezcan futuras alertas y eliminar los falsos positivos anteriores.
A partir de la mañana del 16 de marzo, los clientes pueden haber experimentado una serie de detecciones de falsos positivos que se atribuyen a una detección de comportamiento de ransomware en el sistema de archivos. Los administradores pueden haber visto que las alertas erróneas tenían el título de ‘Comportamiento de ransomware detectado en el sistema de archivos’, y las alertas se activaron en OfficeSvcMgr.exe, dijo Microsoft siguiendo los informes de los usuarios.
Nuestra investigación encontró que una actualización implementada recientemente dentro de los componentes del servicio que detectan alertas de ransomware introdujo un problema de código que provocaba que se activaran las alertas cuando no había ningún problema presente. Implementamos una actualización de código para corregir el problema y asegurarnos de que no haya nuevas alertas. enviado, y hemos vuelto a procesar una acumulación de alertas para remediar completamente el impacto.
Tal es por eso que luego de la actualización de la lógica de la nube, ya no se generarán las alertas de actividad de ransomware incorrectas. Todos los falsos positivos registrados también deberían borrarse automáticamente del portal sin requerir la intervención de los administradores.
¿Qué ha provocado estos falsos positivos?
Los Redmond han comentado que pudo haberse provocado por una reciente actualización implementada dentro de los componentes del servicio para detectar alertas de ransomware.
Está actualización ha provocado un problema de código que genera que las alertas se activen incorrectamente sin que hubiera actividad de ransomware en el sistema.
A continuación le dejamos los diferentes enlaces a los informe de administradores 1 , 2 , 3 , 4
