Windows 管理员今天受到一波 Microsoft Defender for Endpoint 误报的打击，其中 Office 更新在警报中被标记为恶意，指向在其系统上检测到的勒索软件行为。

根据 Windows 系统管理员报告 [ 1 ,  2 ,  3 ,  4 ]，这开始发生在几个小时前，在某些情况下，它导致了“勒索软件警报的倾盆大雨”。

随着报告的激增，微软确认 Office 更新由于误报而被错误地标记为勒索软件活动

Redmond 补充说，其工程师更新了云逻辑，以防止未来的警报出现并消除以前的误报。

“从 3 月 16 日早上开始，客户可能已经经历了一系列误报检测，这些检测归因于文件系统中的勒索软件行为检测。管理员可能已经看到错误警报的标题为“检测到勒索软件行为”文件系统，'并且警报是在 OfficeSvcMgr.exe 上触发的，”微软在用户报告后表示。

“我们的调查发现，最近在检测勒索软件警报的服务组件中部署的更新引入了一个代码问题，导致在不存在问题时触发警报。我们部署了代码更新来纠正问题并确保不会出现新的警报已发送，我们已经重新处理了积压的警报，以完全补救影响。”

云逻辑更新推出后，将不再生成错误的勒索软件活动警报。所有记录的误报也应自动从门户中清除，无需管理员干预。

代码更改触发的误报

据微软称，该问题“可能会影响”试图在 Microsoft Defender for Endpoint 中查看勒索软件警报的管理员。

误报的根本原因是最近在服务组件中部署了用于检测勒索软件警报的更新。

这引入了一个代码问题，该问题错误地导致在系统上不存在勒索软件活动的情况下触发警报。

11 月，由于另一个误报标记了 Emotet 恶意软件有效负载文件，Defender for Endpoint 还阻止了 Office 文档的打开和一些 Office 可执行文件的启动。

一个月后， 它还错误地显示 了与公司新部署的用于 Log4j 进程的 Microsoft 365 Defender 扫描仪相关的“传感器篡改”警报。

自 2020 年 10 月以来，管理员不得不处理其他类似的 Defender for Endpoint 问题，包括一个 网络设备感染 Cobalt Strike 的警报 和另一个 将 Chrome 更新标记为 PHP 后门的警报。

今天早些时候，当联系到微软发言人时，无法联系到微软发言人发表评论。