Lapsus: Ms Defender detecta Ms Office como ransomware

   
   
Los administradores de Windows se llevaron un susto de cuidado este último 16 de marzo, cuando recibieron en Microsoft Defender lo que calificaron como una «lluvia de alertas de ransomware». Y procedente de la suite de productividad Microsoft Office, nada menos. No sabemos si habrá afectado también a las versiones de consumo, pero tranquilo, se trató de esos falsos positivos que son bastante habituales en los servicios de seguridad.

Microsoft Defender para Endpoint comenzó a etiquetar las actualizaciones de Office como actividad maliciosa y más de uno se cayó de la silla teniendo en cuenta el grado de adopción de una suite como Office y que el tipo de alerta era de Ransomware, la mayor amenaza en ciberseguridad de los últimos años.

Obviamente fue un error. «Nuestra investigación encontró que una actualización implementada recientemente dentro de los componentes del servicio que detectan alertas de ransomware provocó un error de código que activó las alertas cuando no había ningún problema real. Hemos implementado una actualización de código para corregirlo y asegurarnos de que no haya nuevas alertas», explican desde Microsoft.

Después de la actualización del servicio de seguridad por Microsoft, ya no se deberían generar alertas de actividad de ransomware incorrectas. Todos los falsos positivos registrados también deberían borrarse automáticamente del portal sin requerir la intervención de los administradores.

Microsoft Defender y los falsos positivos

Aunque sea irónico que el servicio de seguridad de Microsoft etiquete como malware al software estrella de la marca, no es la primera vez y los casos de falsos positivos abundan en todas las soluciones de ciberseguridad. En noviembre pasado, Defender para Endpoint también bloqueó la apertura de documentos de Office y el lanzamiento de algunos ejecutables de la suite debido a otro falso positivo que los etiquetaba como cargas útiles del malware Emotet.

En diciembre, también mostró por error alertas de «manipulación del sensor» vinculadas al escáner Microsoft 365 Defender que se implementó para combatir los procesos de Log4j, una vulnerabilidad de día cero explotada activamente que afectó a Apache y que puso en riesgo a una buena parte de Internet.

En 2020 también fueron sonadas las alertas erróneas de Microsoft Defender al fallar a la hora de calificar dispositivos de red infectados con Cobalt Strike y otro suceso que marcó las actualizaciones de Chrome como puertas traseras de PHP. En estos temas, es obvio que es ‘mejor pasarse que no llegar’, pero tratar Office como ransomware ya es demasiado.

piepagina