Microsoft Defender For Endpoint ติดแท็กการอัปเดต Google Chrome ที่ผ่าน Google Update ว่าเป็นพฤติกรรมที่ต้องสงสัย
ตามรายงานของผู้ดูแลระบบ Windows โซลูชันความปลอดภัย (เดิมเรียกว่า Microsoft Defender ATP) ได้เริ่มทำเครื่องหมายการอัปเดต Chrome ว่าน่าสงสัยตั้งแต่เย็นที่ผ่านมา ผู้ที่พบปัญหานี้รายงานว่ามีการแจ้งเตือนบน Defender for Endpoint ของ Windows ว่า "มีเหตุการณ์ที่เกี่ยวข้องกับการหลบเลี่ยงการป้องกัน"
ในคำแนะนำของ Microsoft 365 Defender ที่ออกหลังจากการพบการแจ้งเตือนเหล่านี้ Microsoft เปิดเผยว่าเป็น trigger ที่ผิดพลาด โดยถือเป็น false positive และไม่ได้เกิดจากพฤติกรรมที่เป็นอันตราย
"ผู้ดูแลระบบอาจได้รับการแจ้งเตือนที่เป็น false positive สำหรับ Google Update บน Microsoft Defender" Microsoft กล่าว
ประมาณหนึ่งชั่วโมงครึ่งต่อมาได้มีการอัพเดทคำแนะนำ โดย Microsoft กล่าวว่า จุดที่เป็น false Positive ได้รับการแก้ไขแล้ว
"เราพิจารณาแล้วว่าเป็น false positive และเราได้อัปเดตสำหรับการแจ้งเตือนนี้ เพื่อแก้ไขปัญหาที่พบเรียบร้อยแล้ว" โฆษกของ Microsoft กล่าวกับ BleepingComputer
ในเดือนพฤศจิกายน Defender ATP ได้ทำการบล็อกเอกสาร Office และไฟล์ของ Office บางส่วนจากการเปิดใช้งาน เนื่องจากมีการติดแท็กว่าไฟล์เป็นตัว payload ของมัลแวร์ Emotet ซึ่งภายหลังพบว่าเป็น false positive
หนึ่งเดือนต่อมา ก็มีความผิดพลาด "sensor tampering" แจ้งเตือนว่า Microsoft 365 Defender ที่สแกนหาโปรเซสของ Log4j เป็นพฤติกรรมที่ต้องสงสัยเช่นเดียวกัน
ปัญหาอื่นๆของ Defender for Endpoint ที่คล้ายคลึงกัน ได้แก่ การแจ้งเตือนเครือข่ายที่โดนโจมตีจาก Cobalt Strike และการอัปเดต Chrome ที่ถูกมองว่าเป็น PHP backdoors ซึ่งทั้งคู่เกิดจากการตรวจจับที่ผิดพลาดอีกเช่นเดียวกัน
ที่มา: bleepingcomputer.
You must be logged in to post a comment.