Microsoft Defender kennzeichnet Office-Prozess versehentlich als Ransomware

Microsoft Defender for Endpoint Security hat vor kurzem eine Warnung ausgegeben, die viele Leute ziemlich überrascht hat: Die App warnte vor Ransomware im Office-Prozess OfficeSvcMgr.exe und blockierte daher den Zugriff darauf.

Dies geschah im Anschluss an die letzten Definitions-Updates, die Microsoft Defender for Endpoint erhalten hatte, und während Systemadministratoren mit Ransomware-Warnungen überschwemmt wurden, war ziemlich klar, dass es sich dabei nur um einen Fehlalarm handelte.

Microsoft Engineer Steve Scholz, Principal Technical Specialist for Security bei Microsoft, erklärte auf reddit, dass der Softwarekonzern das Problem behoben hat, nachdem er einen plötzlichen Anstieg der Anzahl der an Kunden gesendeten Warnungen festgestellt hatte.

Seit dem Morgen des 16. März haben Kunden möglicherweise eine Reihe von falsch-positiven Erkennungen erlebt, die auf eine Ransomware-Verhaltenserkennung im Dateisystem zurückzuführen sind. Microsoft hat diese Häufung von Erkennungen untersucht und festgestellt, dass es sich um falsch-positive Ergebnisse handelt. Microsoft hat die Cloud-Logik aktualisiert, um die falsch positiven Ergebnisse zu unterdrücken.

Laut Microsoft lag das alles an einem Programmfehler, der bei den Tests nicht erkannt wurde.

Was die Ursache des Ganzen angeht, so wird in einer heute im Admin Center veröffentlichten Nachricht ein Codefehler in Microsoft Defender for Endpoint verantwortlich gemacht.

Unsere Untersuchung hat ergeben, dass ein kürzlich bereitgestelltes Update innerhalb der Dienstkomponenten, die Ransomware-Warnungen erkennen, ein Codeproblem eingeführt hat, das dazu führte, dass Warnungen ausgelöst wurden, obwohl kein Problem vorlag. Wir haben ein Code-Update bereitgestellt, um das Problem zu beheben und sicherzustellen, dass keine neuen Warnungen mehr gesendet werden, und wir haben einen Rückstand an Warnungen neu verarbeitet, um die Auswirkungen vollständig zu beheben.

Zum jetzigen Zeitpunkt funktioniert alles wie erwartet, da auch der Fehlalarm behoben wurde. Systemadministratoren wird empfohlen, Microsoft Defender for Endpoints auf dem neuesten Stand zu halten, um die neuesten Definitionen zu erhalten, einschließlich der Behebung dieses Fehlalarms.