Microsoft Defender erkennt Office-Updates als Ransomware-Aktivitäten (16.3.2022)

Sicherheit (Pexels, allgemeine Nutzung)[English]Sieht nach einem klassischen Fehlalarm aus, den sich der Microsoft Defender am gestrigen Mittwoch (16. März 2022) geleistet hat. Wenn bei euch auf Systemen plötzlich Updates von Microsoft Office als Ransomware in Quarantäne geschoben wurde, wart ihr von diesem Fall betroffen.


Anzeige

Gestern war bei einigen Administratoren die Hölle los, denn der Microsoft Defender lief auf Windows-Maschinen Amok. Auf reddit.com gibt es diesen Thread, der das Ganze aufgreift. Ein Betroffener fragt, ob andere auch vom Defender darüber informiert wurden, dass Office-Dateien als schädlich erkannt wurden.

Defender Alerts for Ransomware regarding Office

Looks like MS goofed the Security definitions again, seeing false positives from Office come through on ATP like the issue a few months ago. Anyone else getting Defender alerts?

Ein anderer Betroffener bestätigt das Ganze und schreibt in seiner Erwiderung, dass ein Ransomware-Verhalten im Dateisystem gemeldet worden sei:

YES! Downpour of ransomware alerts right now! "Ransomware behavior detected in the file system"

Im betreffenden Thread gibt es einen Reihe Betroffener, die sich darauf gemeldet haben und das Problem bestätigten. Auch auf Twitter gab es entsprechende Meldungen hier, hier und hier.

Defender flags Office Updates as Ransomware

Ich konnte gestern wegen Server-Problemen nicht reagieren. Aber die Kollegen von Bleeping Computer haben es zeitnah in einem Beitrag aufgegriffen.

Defender flags Office Updates as Ransomware

Inzwischen hat Microsoft das Problem wohl bestätigt und behoben. Hier die Statements:

Starting on the morning of March 16th, customers may have experienced a series of false-positive detections that are attributed to a Ransomware behavior detection in the file system. Admins may have seen that the erroneous alerts had a title of 'Ransomware behavior detected in the file system,' and the alerts were triggered on OfficeSvcMgr.exe.

Our investigation found that a recently deployed update within service components that detect ransomware alerts introduced a code issue that was causing alerts to be triggered when no issue was present. We deployed a code update to correct the problem and ensure that no new alerts will be sent, and we've re-processed a backlog of alerts to completely remediate impact.

Es war also ein Fehlalarm und Microsoft hat Code publiziert, um diese Fehlalarme zukünftig zu verhindern.


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Virenschutz abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Microsoft Defender erkennt Office-Updates als Ransomware-Aktivitäten (16.3.2022)

  1. Michael sagt:

    Das würde ich mal klassisches "friendly-fire" nennen ;-)

  2. Paul sagt:

    Hat MS die Testabteilung aufgelöst (kosten nur Geld. meckern ständig 'rum und verzörgern Time-to-market, und es sind ja trotzdem Fehler drin) Macht MS nur noch Bananen-Software (wird grün, ohne test, ausgeliefert und reift beim Kunden)
    oder wie kann es sein, das ein Update erst beim Kunden (falsch) als böse gerkannt wird?

  3. Stefan A. sagt:

    Wir haben u.a. die Security intelligence updates for Microsoft Defender Antivirus auch an unserem WSUS mit ausgewählt, so dass dieser diese auch mit herunterlädt.

    Seit dem 16.03. hat der WSUS keine neuen Defender Updates mehr synchronisiert.

    Ist das nur bei uns so oder hat das Problem noch jemand anderes?

    Es ist nicht wirklich dramatisch, da wir auf eine andere Lösung setzen, aber mir ist es einfach aufgefallen.

  4. Stefan A. sagt:

    Also meine letzte Version im WSUS ist Version 1.361.68.0
    Seit dem ist am WSUS nichts mehr synchronisiert worden.

    Es sollten aber laut hier schon einiges neues geben:
    https://www.microsoft.com/en-us/wdsi/defenderupdates

    Gruß an Alle

  5. ibbsy sagt:

    Mhm..interessante Sache:
    Wenn ich unter Einstellungen/Windows-Sicherheit/Viren- und Bedrohungschutz mal die Updates manuell abrufe, erzählt mir Win10 einen von Version 1.361.173.0.Gehe ich dann in den Updateverlauf, bin ich aber dennoch nach wie vor bei Version ..129.0.

    Heißt aber auch auf der Einstellungsseite, dass Microsoft "versucht, stets die aktuellen Versionen herunterzuladen, man das aber auch manuell anstoßen kann"…

    Grundsätzlich erhält man laut Verlauf ja überwiegend eine Aktualisierung täglich, selten zwei.

    Dass auf der oben von Stefan A. verlinkten Seite von Microsoft mehrere Versionen angeboten werden, liegt m. E. an den verschiedenen Betriebssystemversionen, auf denen es ankommen soll, zB 32/64bit.

    Gibt hier sicher Fachleute, die dazu mehr sagen können..

  6. Horst sagt:

    gleiches problem auch bei uns, keine Defender updates mehr über SCCM/WSUS ! wir dachten erst das liegt an uns… aber da auch andere das problem haben, scheint wohl irgendwas bei MS zu stören…

  7. Ralf S. sagt:

    Sehe den Bericht und die Kommentare inzwischen als Bestätigung auch für meine Probleme ab dem 15.03. abends bis ca. 16.03. nachmittags. Während dieser Zeit ging plötzlich die Ereignisanzeige nicht mehr komplett aufzurufen (blieb hängen) und ist nach einiger Zeit dann komplett abgestürzt. Dachte natürlich mal wieder, dass ich ein PC-Problem habe und wohl selbst daran schuld bin usw. Habe dann mehrere Stunden alles Mögliche probiert über Systemwiederherstellung, löschen von Temp-Dateien, sfc /scannow durchlaufen lassen (das übrigens fast eine Stunde (!), sonst 3 – max. 5 Minuten, gedauert hatte …) usw. Hat alles nix gebracht. Mir fiel dann am 16.03. nachts um ca. 01:30 Uhr noch auf, dass die letzte Virensignatur vom 15.03. um 07:35 Uhr war. Normalerweise kommen innerhalb 24 Stunden 2 – 4 X neue Definitionen bei mir. Gestern Nachmittag ging dann plötzlich alles wieder, als wie wenn nie etwas gewesen wäre … Die Ereignisanzeige hat trotzdem, dass sie ständig abgestürzt ist, allerdings im Absturzzeitraum Protokolle erstellt und dort fanden sich im fehlerhaften Zeitraum mehrere Einträge über "Problemsignaturen des Windows-Defender" die die "MP Telemetry" stören und "Time-Outs" verursachen … Diese Einträge sind seit heute Nachmittag nun auch wieder komplett verschwunden. Also irgendwas ham se wohl mal wieder ordentlich verbockt …

  8. Stefan A. sagt:

    Heute Morgen trudeln die Defender Updates via WSUS nun wieder ein.

Schreibe einen Kommentar zu ibbsy Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.