Microsoft Defender stuft legitime URLs als gefährlich ein

Der aktualisierte Defender-Dienst von Microsoft, der zuweilen Probleme macht, bereitet IT-Administratoren erneut Kopfzerbrechen, weil er legitime URLs als gefährlich kennzeichnet.

Benutzer beschweren sich darüber, dass Webseiten wie Zoom und Google als potenziell gefährlich eingestuft werden, was eine Flut von Warnungen zur Folge hat. Um das Problem noch zu verschärfen, schrieb ein Internetnutzer, dass das Defender-Portal "auf und ab fährt", was es schwierig macht, die Warnungen zu untersuchen.

Ein Systemadministrator berichtete, dass er nach zwei E-Mail-Warnungen über einen gefährlichen Link, auf den er geklickt hatte, nicht mehr in der Lage war, das Sicherheitsportal zu durchsuchen.

Und ein Leser von Register berichtete: "Unsere Organisation hat Hunderte von URL-Warnungen von Office 365 für zoom.us-Links erhalten. Es dauert lange, bis wir diese Fehlalarme untersuchen können. Microsoft hat schließlich zugegeben, dass Hunderte von Konten und Nutzern weltweit betroffen sind."

Microsoft ist sich des Problems bewusst und twitterte um 1304 UTC, dass das Problem untersucht wird.

Wir untersuchen ein Problem, bei dem legitime URL-Links vom Microsoft Defender-Dienst fälschlicherweise als schädlich eingestuft werden. Außerdem zeigen einige der Warnungen nicht den erwarteten Inhalt an.

Ein Benutzer bemerkte, dass Microsoft darauf hinwies, dass Admins "möglicherweise eine unübliche Anzahl von E-Mail-Warnungen mit hohem Gefährdungsgrad erhalten".

Das Unternehmen erklärte, dass man versuche, die Ursache des Problems durch eine Überprüfung der Dienstüberwachung zu isolieren.

Eine Stunde nach dem ersten Tweet meldete sich Microsoft zu Wort und teilte mit, dass "die Benutzer trotz der falsch-positiven Warnmeldungen immer noch auf die legitimen URLs zugreifen können. Wir untersuchen, weshalb und welcher Teil des Dienstes legitime URLs fälschlicherweise als schädlich identifiziert".

Wenn man die Reddit-Kommentare liest, scheinen Zoom-Links ein besonderes Problem zu sein, aber nicht das einzige. Ein Reddit-Poster schrieb, dass "Bilder, die von Mitarbeitern von ihrem persönlichen GMAIL-Konto an ihr Arbeitskonto geschickt werden und Zoom-Links" markiert werden.

All dies geschieht zwei Monate, nachdem Nutzer berichtet haben, dass die ASR-Regeln (Attack Surface Reduction) von Defender for Endpoint plötzlich Symbole und Anwendungsverknüpfungen aus der Taskleiste und dem Startmenü sowohl in Windows 10 als auch in Windows 11 entfernen.

Update

Wir haben festgestellt, dass die jüngsten Ergänzungen der SafeLinks-Funktion zu den Fehlalarmen geführt haben und haben diese Ergänzungen rückgängig gemacht, um das Problem zu beheben.