Microsoft Defender за крайни точки понастоящем блокира отварянето на документи на Office и стартирането на някои изпълними файлове поради фалшиво положително маркиране на файловете като потенциално заразени с полезен товар на Emotet. Системни администратори на Windows съобщават, че това се случва след актуализирането на дефинициите на корпоративната платформа за защита на крайните точки на Microsoft (известна преди като Microsoft Defender ATP) до версия 1.353.1874.0. Когато се задейства, Defender for Endpoint блокира отварянето на файла и извежда грешка, споменаваща подозрителна дейност, свързана с Win32/PowEmotet.SB или Win32/PowEmotet.SC.
„Виждаме проблеми с актуализацията на дефиниция 1.353.1874.0, която открива сигнатура Win32/PowEmotet.SB този следобед“, каза един администратор.
„Виждаме, че това е открито в Excel, всяко приложение на Office, използващо MSIP.ExecutionHost.exe (AIP Sensitivity Client) и splwow64.exe“, добави друг.
Трети потвърди проблемите с днешните актуализации на дефинициите: „Виждаме същото поведение конкретно с v.1.353.1874.0 на дефинициите, които бяха пуснати днес, и включваше дефиниция за Behavior:Win32/PowEmotet.SB & Behavior: Win32/PowEmotet.SC.“
Въпреки че Microsoft все още не е споделила никаква информация за това какво причинява проблемите, най-вероятната причина е, че компанията е увеличила чувствителността за откриване на поведение, подобно на Emotet, в актуализации, пуснати днес, което прави генеричната машина за откриване на поведение на Defender твърде чувствителна към фалшиви положителни резултати . Промяната вероятно е предизвикана от скорошното възраждане на Emotet ботнет от преди две седмици, след като изследователската група Emotet Cryptolaemus, GData и Advanced Intel започна да вижда как TrickBot пуска Emotet зареждачи на заразени устройства. Въпреки че това почти сигурно не е истинската причина, моментът определено е лош, тъй като Emotet се завръща и повечето администратори на Windows вече са на нокти. Както някои от тях съобщават, те почти извадиха центровете си за данни офлайн, за да спрат разпространението на евентуална инфекция с Emotet, преди да разберат, че това, което виждат, вероятно са фалшиво положителни детекции.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.