Защитник Windows напугал сисадминов ложным обнаружением Emotet

1 Декабря

Microsoft Defender for Endpoint блокирует открытие файлов и выдает ошибку, указывающую на активность, связанную с Win32/PowEmotet.

e1447be88c493f3c1a6683a07e1a4dd1.jpg
Защитное решение Microsoft Defender for Endpoint блокировало открытие документов Microsoft Office и запуск некоторых исполняемых файлов из-за ложного срабатывания тега, который помечает файлы как потенциально содержащие вредоносное ПО Emotet.

Cогласно сообщениям в Twitter и на Reddit , предупреждения появились после обновления определений корпоративной платформы безопасности оконечных точек

Microsoft (ранее известной как Microsoft Defender ATP) до версии 1.353.1874.0.
При срабатывании Microsoft Defender for Endpoint блокирует открытие файла и выдает ошибку, указывающую на подозрительную активность, связанную с

Win32/PowEmotet.SB или Win32/PowEmotet.SC. Проблема затрагивает файлы Excel и любого приложения Microsoft Office, использующего MSIP.ExecutionHost.exe и splwow64.exe.
Microsoft не предоставила какую-либо информацию о причинах данной ситуации. Наиболее вероятная причина заключается в том, что компания в последних обновлениях усилила чувствительность защитного решения к обнаружению поведения, подобного Emotet.

Изменение, вероятно, было вызвано недавним « возрождением » ботнета Emotet две недели назад. Напомним, исследователи в области кибербезопасности из Cryptolaemus, GData и Advanced Intel выявили случаи, когда вредоносная программа TrickBot устанавливала на зараженные устройства загрузчик для Emotet.
Как сообщили специалисты Microsoft, они устранили проблему для пользователей, подключенных к облачным сервисам, и работают над исправлением для всех остальных.

Источнник:
 
Назад
Сверху Снизу