มีการพบว่า Microsoft Defender for Endpoint บล็อกการเปิดเอกสาร Microsoft Office และการเรียกใช้โปรแกรมบางรายการ เนื่องจากการตรวจจับเพย์โหลดของมัลแวร์ Emotet ที่เป็น false positive
ผู้ดูแลระบบ Windows รายงานว่า เหตุการณ์นี้เกิดขึ้นตั้งแต่อัปเดต Enterprise endpoint security platform ของ Microsoft (ก่อนหน้านี้เรียกว่า Microsoft Defender ATP) เป็นเวอร์ชัน 1.353.1874.0
เมื่อตัว Defender for Endpoint ทำงานมันจะทำการบล็อกไม่ให้เปิดไฟล์ และแสดงข้อความที่บ่งบอกว่าเป็นการบล็อกไฟล์ที่น่าสงสัย ที่เชื่อมโยงกับ Win32/PowEmotet.SB หรือ Win32/PowEmotet.SC
ทาง BleepingComputer ได้ลองทำการทดสอบ ก็พบการตรวจจับที่เป็น false positive บนเครื่อง Virtual machine Windows 10 ที่อัพเดท Microsoft Defender เป็นเวอร์ชันล่าสุดเช่นเดียวกัน ดังรูป
แม้ว่า Microsoft ยังไม่ได้เปิดเผยข้อมูลเกี่ยวกับสาเหตุของเหตุการณ์นี้ โดยสาเหตุที่เป็นไปได้มากที่สุดคือบริษัทได้เพิ่มการตรวจจับพฤติกรรมที่คล้ายกับ Emotet ในการอัปเดตที่เผยแพร่ในวันนี้ ซึ่งทำให้กลไกตรวจจับพฤติกรรมทั่วไปของ Defender มีความ Sensitive มากเกินไป และมีแนวโน้มที่จะเป็น false positive
การเปลี่ยนแปลงนี้ น่าจะเกิดขึ้นจากการกลับมาของ Emotet botnet เมื่อสองสัปดาห์ก่อน หลังจากที่กลุ่มนักวิจัย Emotet Cryptolaemus, GData และ Advanced Intel เริ่มพบ TrickBot มีการวาง Emotet loaders บนอุปกรณ์ที่ติดไวรัส
Microsoft ได้แจ้งกับ BleepingComputer ว่า "กำลังดำเนินการแก้ไขปัญหาที่ลูกค้าบางรายอาจพบการตรวจจับที่เป็น false positive โดยปัญหานี้ได้รับการแก้ไขแล้วสำหรับลูกค้าที่เชื่อมต่อกับระบบคลาวด์"
ที่มา: bleepingcomputer
You must be logged in to post a comment.