微軟衛(wèi)士近期一次云端更新，導(dǎo)致客戶終端上的Office更新文件被檢測(cè)為“勒索軟件活動(dòng)”，幾小時(shí)內(nèi)在網(wǎng)絡(luò)上引發(fā)了大量吐槽。

　　3月16日，微軟衛(wèi)士終端版（Microsoft Defender for Endpoint）的一波誤報(bào)令Windows系統(tǒng)管理員們大驚失色。在對(duì)系統(tǒng)進(jìn)行勒索軟件掃描時(shí)，Office更新居然被標(biāo)記為惡意活動(dòng)。

　　根據(jù)Windows系統(tǒng)管理員們的上報(bào)來看，幾小時(shí)內(nèi)這一問題已經(jīng)遍地開花，引得“勒索軟件警報(bào)此起彼伏”。

　　隨著報(bào)告數(shù)量的激增，微軟確認(rèn)稱，這次Office更新由于誤報(bào)而被錯(cuò)誤標(biāo)記成了勒索軟件活動(dòng)。

　　微軟還稱，工程師們已經(jīng)更新了云端邏輯，消除了原有誤報(bào)，并避免未來再出現(xiàn)類似的警報(bào)。

　　微軟在收到用戶報(bào)告后表示，“自3月16日上午開始，客戶可能經(jīng)歷一系列檢測(cè)誤報(bào)。這些檢測(cè)旨在識(shí)別文件系統(tǒng)內(nèi)的勒索軟件活動(dòng)。管理員們看到的誤報(bào)標(biāo)題為「在文件系統(tǒng)中檢測(cè)到勒索軟件活動(dòng)」，觸發(fā)警報(bào)的是OfficeSvcMgr.exe?！?/p>

　　“我們?cè)谡{(diào)查中發(fā)現(xiàn)，檢測(cè)勒索軟件警報(bào)服務(wù)組件新近部署了一項(xiàng)更新，正是這項(xiàng)更新引入了代碼問題，導(dǎo)致可能在沒有問題時(shí)觸發(fā)警報(bào)。我們已經(jīng)發(fā)布代碼更新糾正了問題，并確保后續(xù)不會(huì)出現(xiàn)新的警報(bào)提醒。我們也重新處理了積壓警報(bào)，希望徹底消除此次意外造成的影響?！?/p>

　　云端邏輯更新之后，勒索軟件活動(dòng)誤報(bào)確實(shí)不再出現(xiàn)。而且無需管理員干預(yù)，所有誤報(bào)記錄將會(huì)自動(dòng)從門戶中消除。

　　微軟衛(wèi)士的誤報(bào)史

　　微軟表示，該問題“可能會(huì)影響”在微軟衛(wèi)士終端版觀察勒索軟件活動(dòng)的管理員。

　　引發(fā)誤報(bào)的根本原因，是微軟衛(wèi)士最近在服務(wù)組件中部署了一項(xiàng)專門檢測(cè)勒索軟件警報(bào)的更新。

　　更新引入了一個(gè)代碼問題，導(dǎo)致在系統(tǒng)上不存在勒索軟件活動(dòng)時(shí)，仍錯(cuò)誤觸發(fā)警報(bào)。

　　2021年11月，微軟衛(wèi)士就出現(xiàn)過類似的誤報(bào)問題，導(dǎo)致正常文件被標(biāo)記為Emotet惡意軟件有效載荷，Office文檔及部分Office可執(zhí)行文件無法正常打開。

　　一個(gè)月后，微軟衛(wèi)士又將自家剛剛為Log4j進(jìn)程部署的微軟衛(wèi)士365掃描程序標(biāo)錯(cuò)，發(fā)出“傳感器篡改”警報(bào)。

　　自從2020年10月以來，管理員們已經(jīng)一次又一次面對(duì)微軟衛(wèi)士終端版的離譜表現(xiàn)，包括一次針對(duì)Cobalt Strike的網(wǎng)絡(luò)設(shè)備感染警報(bào)、一次將Chrome更新標(biāo)記為PHP后門的警報(bào)。

　　我們已就此事與微軟發(fā)言人取得聯(lián)系，對(duì)方表示目前無法發(fā)表任何評(píng)論。