Microsoft Defender geeft een valspositief voor Emotet-malware in Office

Microsoft Defender voor Endpoint blokkeert sinds dinsdag het openen van sommige Office-documenten, omdat het een valspositief geeft voor Emotet-malware. Het probleem lijkt zich voor te doen sinds versie 1.353.1874.0.

Verschillende systeembeheerders hebben sinds dinsdag problemen met Windows Defender voor Endpoint, meldt BleepingComputer. De software denkt de payload van Emotet-malware te herkennen in Excel-bestanden of andere Office-apps die gebruikmaken van MSIP.ExecutionHost.exe, meldt een gebruiker. BleepingComputer heeft de foutpositief kunnen reproduceren.

Microsoft Defender voor Endpoint blokkeert het openen van een bestand als deze wordt gemarkeerd met een valspositief. Hierdoor kunnen gebruikers niet bij hun bestanden als de software de malware meent te herkennen.

Een woordvoerder van Microsoft heeft laten weten te werken aan een oplossing. Klanten die verbonden zijn via de cloud moeten het probleem inmiddels niet meer hebben. Het bedrijf heeft verder geen details gegeven over hoe het probleem werd veroorzaakt.

Emotet is een beruchte malwaresoort die werd verspreid via onder andere Word-documenten. De malware werd door criminelen aangeboden als malware-as-a-service en werd daardoor op grote schaal gebruikt. Eerder deze maand werd de malware na maanden stilte opnieuw actief.

Reacties (38)

bouvrie 1 december 2021 12:35

Ik als consument was net bezig mijn gedicht te printen,
toen Windows Defender begon te hinten
dat het een bedreiging had tegengegaan,
terwijl ik alleen aan het printen was gegaan.

Het lijkt niet alleen om Defender For Endpoint te gaan,
gezien zelfs mijn consumentenversie van Defender is aangedaan.

Ikbenhet123 @bouvrie • 1 december 2021 15:44

Of Malwarebytes gebruiken, die Windows Defender heeft het bij mij nooit goed gedaan.

Pep7777 @Ikbenhet123 • 1 december 2021 17:03

Opinion based antwoorden kan ik niet zoveel mee, daarbij dit is "Windows Defender for Endpoint" en dat is niet de versie die je thuis draait.

bouvrie @bouvrie • 1 december 2021 12:44

Dus: heeft u ook problemen met de print?
Zet Defender even uit.

Groet,

Sint.

bartje 1 december 2021 12:45

wat is MSIP.ExecutionHost.exe ?
daarnaast komen false positives toch wel vaker voor?

wildhagen

Malware
Networking en security

@bartje • 1 december 2021 12:53

wat is MSIP.ExecutionHost.exe ?

Dat is een onderdeel van de Azure Information Protection unified labeling client for Windows

Daarmee kun je de classificatie van documenten, en daarmee het beveiligingslevel, aangeven. Denk aan Public, Restricted, Confidential etc.

[Reactie gewijzigd door wildhagen op 23 juli 2024 03:37]

wica @bartje • 1 december 2021 12:55

Klopt ze komen wel vaker voor. In dit geval is het behoorlijk vervelend omdat Emotet-malware net weer aan het opkomen is.

Door o.a. dit nieuws zullen mensen ten onrechte denken dat het misschien een false positive is.

masterbass 1 december 2021 12:57

Klanten die verbonden zijn via de cloud moeten het probleem inmiddels niet meer hebben.

Iemand een idee wat hiermee bedoeld wordt?

[Reactie gewijzigd door masterbass op 23 juli 2024 03:37]

Verderf @masterbass • 1 december 2021 13:10

Zeker, daar bedoelen ze Defender for Endpoint mee (vroeger ATP)
https://docs.microsoft.co...point?view=o365-worldwide

OkselFris @masterbass • 1 december 2021 20:55

Ja dat is MAPS oftewel Cloud protection wat een settings is de AV client en on the fly updates kan doen of verdachte bestanden in de cloud analyseert, een must om aan te hebben.
Als je dat niet aan hebt moet je wachten op een nieuwe definitie update.

ReZpie 1 december 2021 13:02

Ik had geen goede avond gehad gister, na het Emotet bericht van vorige week. Ik was pas half 1 klaar toen ik hoorde en pas kon lezen dat dit om een false positive ging. Heel erg vervelend dat wannneer je een ticket bij unified premium support inschiet, met serverity "high" en je pas de volgende ochtend reactie krijgt.

Ik ben inmiddels wel weer een paar jaar ouder en met grijze haren extra.
Mijn mailbox stroomde vol met dit verontrustende bericht waarbij om de 4 minuten een nieuw device deze alert gaf.

[Reactie gewijzigd door ReZpie op 23 juli 2024 03:37]

Verderf @ReZpie • 1 december 2021 13:12

In dit geval is het vaak soms handig om reddit en twitter te checken, daar was dit al redelijk vroeg bekend.

Cergorach

Microsoft Office
Networking en security

@ReZpie • 1 december 2021 15:48

Ik ben inmiddels wel weer een paar jaar ouder en met grijze haren extra.

Welcome op IT! Mijn gijtensik is ondertussen al jaren wit, allemaal IT stress! ;-)

In de toekomst kan je beter eerst even checken in de O365 adminportal, onder Health => Service Health => All Services of Advisories.

Soms zijn ze niet zo vlot en wat vaker checken.

In dit geval staat het incident onder History (DZ301026), deze was al gemeld op 30 november 5:01 AM.

ReZpie @Cergorach • 1 december 2021 16:23

Goede tip ja, dank.

Mday

1 december 2021 12:45

Hey, dit viel me toevallig net op. Zou het kunnen dat dit ook bepaalde Office files corrupt / onbruikbaar maakt? Ik kan enkel een oude versie van een PPT vinden, maar niet de meest recente. ik heb die niet weggegooid of zelf gesloten...

_Thanatos_ 1 december 2021 12:52

Gevaarlijk, want straks is het een true positive en die wordt dan ook genegeerd.

Maar is er wel bewijs dat het écht een false positive is? Het kan ook zijn dat er oprecht een virus in Office zit. Niks is 100% virusvrij te garanderen. Het feit dat je de detectie kunt reproduceren in een VM met verse installaties, is geen bewijs voor een false positive. Dat is alleen bewijs voor een positive, die true of false kan zijn.

McBurger 1 december 2021 14:46

Probleem zat hem in definitiebestand 1.353.1874.0 en is verholpen in de eersvolgende welke 4 uur later beschikbaar kwam. Dus maar beperkte impact. Wel slordig maar liever een false positive dan een false negative zullen we maar zeggen.
Dit is overigens iets waar vrijwel alle antivirus leveranciers al eens mee te maken hebben gehad in het verleden.

Verwijderd 1 december 2021 12:36

Typisch weer. Half off-topic, maar Windows Defender doet dit ook bij qBittorrent sinds kort.
Heeel vervelend, kan nog zo vaak een exception maken, maar elke keer als qBittorrent geupdate wordt plaats Defender hem weer in de quarantaine omdat het zogenaamd een Potentially unwanted App is.
https://github.com/qbittorrent/qBittorrent/issues/14489

Je wilt natuurlijk niet dat je anti-virus een naam krijgt als "die antivirus die altijd valse-positives heeft, die ik dan maar moet excluden."

[Reactie gewijzigd door Verwijderd op 23 juli 2024 03:37]

Dillex @Verwijderd • 1 december 2021 14:00

Een Potentially Unwanted App (PUA) is geen virus en zo behandeld Windows Defender dit ook niet

Die PUA meldingen gaan over het algemeen af op rommel (ongewenst / onnodig) software zoals Ccleaner en nu dus blijkbaar ook torrent clients. Het is gewoon een true/positive alleen wellicht niet gewenst.

https://en.wikipedia.org/wiki/Potentially_unwanted_program

Mocht je dit niet willen dan kun je ook gewoon Potentially unwanted app blocking disablen onder Reputation-based protection

sprankel @Dillex • 1 december 2021 17:50

Alle AV producten werken met reputatie scores gebasseerd op meerdere parameters.

Na de qBittorrent installer te bekijken,

-vereist admin rechten en wilt firewall regels aanpassen
-installer heeft geen signature

Vooral het ontbreken van de signature is een probleem, een installer van AMD die de handtekening van AMD draagt zal sowiezo goed scoren wat reputatie betreft. De handtekening van een obscure ontwikkelaar zal wat minder scoren maar een installer uitbrengen zonder handtekening is net zoals het niet ondertekenen van executables vragen aan de AV, gelieve mij te blokkeren.

Als je dan ook nog eens firewall rules wilt gaan aanpassen dan keldert je score nog meer. Defender is dus correct met dit tegen te houden, zo niet waren ze foutief met te adverteren dat ze reputation based protection aanbieden.

Verwijderd @Dillex • 1 december 2021 14:57

Eigenlijk wil Windows defender zowat dicteren wat je wel en niet op je PC mag hebben staan.

OkselFris @Verwijderd • 1 december 2021 20:49

Nee want je kan het aan of uitzetten. Dus het is niet dicteren en zeker een handige functie, vooral in bedrijven om ongewenste software te voorkomen

Verwijderd @Dillex • 1 december 2021 15:38

qBittorrent doet niets op je computer tenzij je het een opdracht geeft. Daarnaast is het open-source.
Ik heb een vermoeden dat Microsoft geen goede motieven had in listen van qBittorrent als een PUA.

wica @Verwijderd • 1 december 2021 12:44

Door dit soort foutjes, nemen mensen idd aan dat het een 'valse positive'. Want ik kan natuurlijk niet besmet zijn. Naar mijn mening zeer kwalijk.

oef! @Verwijderd • 1 december 2021 12:57

Dit is eerder gepost en niet iedereen heeft er last van, ik ook niet. Ik heb wel "Potentially unwanted app blocking" uitstaan in Security > App & Browser control.
De specifieke machine is een server die verder nergens voor gebruikt wordt dus het veiligheidsrisico is te overzien.

Theo_de_Ripper 1 december 2021 14:13

Ik heb een hekel aan Defender. Ik gebruik de laatste jaren alleen nog maar BitDefender Antivirus Free. Werkt perfect en is geen aanslag op je systeem.

beerse

Microsoft Office

1 december 2021 18:19

Toch jammer dat hier alleen maar over 'office' wordt gesproken. LibreOffice gebruikers (en zelfs OpenOffice) hebben hier helemaal geen last van. Tenzij ze een document van een msOffice of Office365 gebruiker krijgen. Het is immers het document dat geblokkeerd wordt.

Daarmee zou ik ook graag weten of al duidelijk is of alle msOffice varianten getroffen zijn.

Alex3 @beerse • 1 december 2021 18:55

Ja, weer een artikel waarin ten onrechte "Office" wordt gebruikt in plaats van "MS Office".

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (38)

Sorteer op:

Weergave: