Microsoft Defender for Endpoint zaliczył już w przeszłości parę wpadek, np. oznaczając aktualizacje Office jako malware. Również podstawowemu Defenderowi zdarzyło się podpisać cyfrowo złośliwe oprogramowanie. Ostatni z tych faili dotyczył aktualizacji Google Chrome.
Administratorzy systemów zaczęli dziś zgłaszać (m.in. na Reddicie), że aktualizacje przeglądarki Chrome są flagowane jako "podejrzane" ("suspicious") przez Microsoft Defender for Endpoint. Rozwiązanie chroniące Microsoftu raportowało, że plik DLL "goopdate" jest podejrzany, ponieważ nie został podpisany przez usługę Google Updater (GoogleUpdate.exe). Jeden ze specjalistów bezpieczeństwa opublikował listę alertów, pisząc, że "Defender for Endpoint oszalał".
@MSThreatProtect / @Google
— Kevin Gray (@thiskevgray) April 19, 2022
Defender for Endpoint going crazy with detections triggered by google updates this evening 😥 pic.twitter.com/9ifNJmWyr2
Microsoft potwierdził te znaleziska i sklasyfikował zachowanie programu jako fałszywy alarm ("false positive"). Na szczęście udało się to naprawić już tego samego dnia:
SERVICE ADVISORY:
— Ota Hirofumi 📖 Microsoft Teams 踏み込み活用術 (@hrfmjp) April 20, 2022
[DZ361393] Admins may receive a false positive alert for Google Update on Microsoft Defender for Endpoint monitored devices
Service: Microsoft 365 Defender
Status: ServiceRestored
LastUpdated: 2022-04-20T00:30:32.717Z
Jak wcześniej wspomnieliśmy, nie jest to pierwszy taki przypadek. Ten sam program oflagował aktualizacje Chrome jako złośliwe w lutym zeszłego roku, natomiast w tym roku błędnie zidentyfikował "OfficeSvcMgr.exe" jako ransomware.