我杀我自己系列:Microsoft Defender将Office更新标记为勒索软件
企业IT管理员从昨天夜里开始应该收到一连串误报的干扰:微软端点防护软件Microsoft Defender for Endpoint错误地将Microsoft Office更新标记为恶意,称在系统上检测到潜在的勒索软件行为。
由于企业内部办公电脑几乎都安装Office软件,因此在部署更新时微软端点防护软件直接炸锅,不停地弹出各个设备遇到的安全威胁,让大量IT管理员不得不临时终止所有操作并向微软反馈,随后微软公司确认上述情况。
微软发布回应称,从3月16日早上(当地时间)开始,客户可能已经经历一系列误报检测,这些检测归因于文件系统的勒索软件行为监测。管理员可能已经看到错误警报的标题为“检测到勒索软件行为”,并且警报是在OfficeSvcMgr.exe上触发的。
微软调查发现此问题是由于端点防护软件用于检测勒索软件的服务组件最近引入了一个“代码问题”,导致在没有威胁的情况下发出警报。为此微软工程师已经在云端发布更新策略修复这个问题,确保现在以及未来不会再出现这种误报。同时微软直接清除所有有关该条目的误报不必管理员挨个查看和清理,此次误报的记录也会被直接清理掉。
云端代码更新和策略更新目前已经部署几个小时,某些地区的IT管理员可能需要更长时间才能收到更新,所以如果遇到大量警报请不要捉急,先暂停所有操作等待Microsoft Defender for Endpoint自动处理就好。