Os usuários do Windows registraram uma onda de falsos positivos do Microsoft Defender nesta quarta-feira (16), onde até as atualizações do Office foram marcadas como conteúdo malicioso.
De acordo com vários registros publicados pelos usuários no Reddit e Twitter, o problema ocorreu durante várias horas, alguns ainda citam ter recebido uma "chuva de alertas de ransomware".
Após o grande aumento no número de reclamações, a Microsoft confirmou o problema e disse que as atualizações do Office foram marcadas erroneamente como atividade de ransomware devido a falsos positivos.
A empresa ainda acrescentou que seus engenheiros já atualizaram a lógica da nuvem do Windows Defender para evitar que alertas futuros apareçam e removeu os falsos positivos registrados durante o ocorrido.
"A partir da manhã de 16 de março, os clientes podem ter experimentado uma série de detecções falso-positivas atribuídas a uma detecção de comportamento de ransomware no sistema de arquivos. o sistema de arquivos' e os alertas foram acionados no OfficeSvcMgr.exe", disse a Microsoft.
"Nossa investigação descobriu que uma atualização implantada recentemente nos componentes de serviço que detectam alertas de ransomware introduziu um problema de código que estava fazendo com que os alertas fossem acionados quando nenhum problema estava presente. Implantamos uma atualização de código para corrigir o problema e garantir que nenhum novo alerta seja gerado. Enviamos e reprocessamos uma lista de alertas pendentes para remediar completamente o impacto", acrescentou.
O que causou o problema?
De acordo com a Microsoft, o problema "pode ter afetado potencialmente" os usuários que tentaram visualizar alertas de ransomware no Microsoft Defender para Endpoint.
A causa raiz dos alertas desses falsos positivos foi uma atualização implantada recentemente nos componentes de serviço para detectar alertas de ransomware.
Isso gerou um problema de código que fez com que os alertas fossem acionados sem que a atividade de ransomware fosse detectada no sistema.
Em novembro, o Defender para Endpoint também bloqueou a abertura de documentos do Office e a inicialização de alguns executáveis do Office devido a outro falso positivo registrado nos arquivos como Emotet Malware Payloads.
Um mês depois, o Defender também mostrou erroneamente alertas de "alteração do sensor" vinculados ao scanner do Microsoft 365 Defender recém-lançado para processos Log4j.
Desde outubro de 2020, o antivírus da Microsoft vem tendo outros problemas semelhantes, incluindo um alerta de dispositivos de rede infectados com Cobalt Strike e outro marcando atualizações do Chrome como backdoors PHP.
Via: Bleeping Computer
