微軟衛(wèi)士近期一次云端更新，導(dǎo)致客戶終端上的Office更新文件被檢測為“勒索軟件活動”，幾小時內(nèi)在網(wǎng)絡(luò)上引發(fā)了大量吐槽。

　　3月16日，微軟衛(wèi)士終端版（Microsoft Defender for Endpoint）的一波誤報令Windows系統(tǒng)管理員們大驚失色。在對系統(tǒng)進行勒索軟件掃描時，Office更新居然被標(biāo)記為惡意活動。

　　根據(jù)Windows系統(tǒng)管理員們的上報來看，幾小時內(nèi)這一問題已經(jīng)遍地開花，引得“勒索軟件警報此起彼伏”。

　　隨著報告數(shù)量的激增，微軟確認稱，這次Office更新由于誤報而被錯誤標(biāo)記成了勒索軟件活動。

　　微軟還稱，工程師們已經(jīng)更新了云端邏輯，消除了原有誤報，并避免未來再出現(xiàn)類似的警報。

　　微軟在收到用戶報告后表示，“自3月16日上午開始，客戶可能經(jīng)歷一系列檢測誤報。這些檢測旨在識別文件系統(tǒng)內(nèi)的勒索軟件活動。管理員們看到的誤報標(biāo)題為「在文件系統(tǒng)中檢測到勒索軟件活動」，觸發(fā)警報的是OfficeSvcMgr.exe?！?/p>

　　“我們在調(diào)查中發(fā)現(xiàn)，檢測勒索軟件警報服務(wù)組件新近部署了一項更新，正是這項更新引入了代碼問題，導(dǎo)致可能在沒有問題時觸發(fā)警報。我們已經(jīng)發(fā)布代碼更新糾正了問題，并確保后續(xù)不會出現(xiàn)新的警報提醒。我們也重新處理了積壓警報，希望徹底消除此次意外造成的影響。”

　　云端邏輯更新之后，勒索軟件活動誤報確實不再出現(xiàn)。而且無需管理員干預(yù)，所有誤報記錄將會自動從門戶中消除。

　　微軟衛(wèi)士的誤報史

　　微軟表示，該問題“可能會影響”在微軟衛(wèi)士終端版觀察勒索軟件活動的管理員。

　　引發(fā)誤報的根本原因，是微軟衛(wèi)士最近在服務(wù)組件中部署了一項專門檢測勒索軟件警報的更新。

　　更新引入了一個代碼問題，導(dǎo)致在系統(tǒng)上不存在勒索軟件活動時，仍錯誤觸發(fā)警報。

　　2021年11月，微軟衛(wèi)士就出現(xiàn)過類似的誤報問題，導(dǎo)致正常文件被標(biāo)記為Emotet惡意軟件有效載荷，Office文檔及部分Office可執(zhí)行文件無法正常打開。

　　一個月后，微軟衛(wèi)士又將自家剛剛為Log4j進程部署的微軟衛(wèi)士365掃描程序標(biāo)錯，發(fā)出“傳感器篡改”警報。

　　自從2020年10月以來，管理員們已經(jīng)一次又一次面對微軟衛(wèi)士終端版的離譜表現(xiàn)，包括一次針對Cobalt Strike的網(wǎng)絡(luò)設(shè)備感染警報、一次將Chrome更新標(biāo)記為PHP后門的警報。

　　我們已就此事與微軟發(fā)言人取得聯(lián)系，對方表示目前無法發(fā)表任何評論。