Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Microsoft Defender geeft een valspositief voor Emotet-malware in Office

Microsoft Defender voor Endpoint blokkeert sinds dinsdag het openen van sommige Office-documenten, omdat het een valspositief geeft voor Emotet-malware. Het probleem lijkt zich voor te doen sinds versie 1.353.1874.0.

Verschillende systeembeheerders hebben sinds dinsdag problemen met Windows Defender voor Endpoint, meldt BleepingComputer. De software denkt de payload van Emotet-malware te herkennen in Excel-bestanden of andere Office-apps die gebruikmaken van MSIP.ExecutionHost.exe, meldt een gebruiker. BleepingComputer heeft de foutpositief kunnen reproduceren.

Microsoft Defender voor Endpoint blokkeert het openen van een bestand als deze wordt gemarkeerd met een valspositief. Hierdoor kunnen gebruikers niet bij hun bestanden als de software de malware meent te herkennen.

Een woordvoerder van Microsoft heeft laten weten te werken aan een oplossing. Klanten die verbonden zijn via de cloud moeten het probleem inmiddels niet meer hebben. Het bedrijf heeft verder geen details gegeven over hoe het probleem werd veroorzaakt.

Emotet is een beruchte malwaresoort die werd verspreid via onder andere Word-documenten. De malware werd door criminelen aangeboden als malware-as-a-service en werd daardoor op grote schaal gebruikt. Eerder deze maand werd de malware na maanden stilte opnieuw actief.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Robert Zomers

Nieuwsposter

01-12-2021 • 12:17

38 Linkedin

Submitter: Chris89

Reacties (38)

Wijzig sortering
Ik als consument was net bezig mijn gedicht te printen,
toen Windows Defender begon te hinten
dat het een bedreiging had tegengegaan,
terwijl ik alleen aan het printen was gegaan.

Het lijkt niet alleen om Defender For Endpoint te gaan,
gezien zelfs mijn consumentenversie van Defender is aangedaan.
Of Malwarebytes gebruiken, die Windows Defender heeft het bij mij nooit goed gedaan.
Opinion based antwoorden kan ik niet zoveel mee, daarbij dit is "Windows Defender for Endpoint" en dat is niet de versie die je thuis draait.
Dus: heeft u ook problemen met de print?
Zet Defender even uit.

Groet,

Sint.
wat is MSIP.ExecutionHost.exe ?
daarnaast komen false positives toch wel vaker voor?
wat is MSIP.ExecutionHost.exe ?
Dat is een onderdeel van de Azure Information Protection unified labeling client for Windows

Daarmee kun je de classificatie van documenten, en daarmee het beveiligingslevel, aangeven. Denk aan Public, Restricted, Confidential etc.

[Reactie gewijzigd door wildhagen op 1 december 2021 12:53]

Klopt ze komen wel vaker voor. In dit geval is het behoorlijk vervelend omdat Emotet-malware net weer aan het opkomen is.

Door o.a. dit nieuws zullen mensen ten onrechte denken dat het misschien een false positive is.
Klanten die verbonden zijn via de cloud moeten het probleem inmiddels niet meer hebben.
Iemand een idee wat hiermee bedoeld wordt?

[Reactie gewijzigd door masterbass op 1 december 2021 12:58]

Zeker, daar bedoelen ze Defender for Endpoint mee (vroeger ATP)
https://docs.microsoft.co...point?view=o365-worldwide
Ja dat is MAPS oftewel Cloud protection wat een settings is de AV client en on the fly updates kan doen of verdachte bestanden in de cloud analyseert, een must om aan te hebben.
Als je dat niet aan hebt moet je wachten op een nieuwe definitie update.
Ik had geen goede avond gehad gister, na het Emotet bericht van vorige week. Ik was pas half 1 klaar toen ik hoorde en pas kon lezen dat dit om een false positive ging. Heel erg vervelend dat wannneer je een ticket bij unified premium support inschiet, met serverity "high" en je pas de volgende ochtend reactie krijgt.

Ik ben inmiddels wel weer een paar jaar ouder en met grijze haren extra.
Mijn mailbox stroomde vol met dit verontrustende bericht waarbij om de 4 minuten een nieuw device deze alert gaf.

[Reactie gewijzigd door ReZpie op 1 december 2021 13:08]

In dit geval is het vaak soms handig om reddit en twitter te checken, daar was dit al redelijk vroeg bekend.
Ik ben inmiddels wel weer een paar jaar ouder en met grijze haren extra.
Welcome op IT! Mijn gijtensik is ondertussen al jaren wit, allemaal IT stress! ;-)

In de toekomst kan je beter eerst even checken in de O365 adminportal, onder Health => Service Health => All Services of Advisories.

Soms zijn ze niet zo vlot en wat vaker checken.

In dit geval staat het incident onder History (DZ301026), deze was al gemeld op 30 november 5:01 AM.
Goede tip ja, dank.
Hey, dit viel me toevallig net op. Zou het kunnen dat dit ook bepaalde Office files corrupt / onbruikbaar maakt? Ik kan enkel een oude versie van een PPT vinden, maar niet de meest recente. ik heb die niet weggegooid of zelf gesloten...
Gevaarlijk, want straks is het een true positive en die wordt dan ook genegeerd.

Maar is er wel bewijs dat het écht een false positive is? Het kan ook zijn dat er oprecht een virus in Office zit. Niks is 100% virusvrij te garanderen. Het feit dat je de detectie kunt reproduceren in een VM met verse installaties, is geen bewijs voor een false positive. Dat is alleen bewijs voor een positive, die true of false kan zijn.
Probleem zat hem in definitiebestand 1.353.1874.0 en is verholpen in de eersvolgende welke 4 uur later beschikbaar kwam. Dus maar beperkte impact. Wel slordig maar liever een false positive dan een false negative zullen we maar zeggen.
Dit is overigens iets waar vrijwel alle antivirus leveranciers al eens mee te maken hebben gehad in het verleden.
Typisch weer. Half off-topic, maar Windows Defender doet dit ook bij qBittorrent sinds kort.
Heeel vervelend, kan nog zo vaak een exception maken, maar elke keer als qBittorrent geupdate wordt plaats Defender hem weer in de quarantaine omdat het zogenaamd een Potentially unwanted App is.
https://github.com/qbittorrent/qBittorrent/issues/14489


Je wilt natuurlijk niet dat je anti-virus een naam krijgt als "die antivirus die altijd valse-positives heeft, die ik dan maar moet excluden."

[Reactie gewijzigd door Yontekh op 1 december 2021 12:46]

Een Potentially Unwanted App (PUA) is geen virus en zo behandeld Windows Defender dit ook niet ;)
Die PUA meldingen gaan over het algemeen af op rommel (ongewenst / onnodig) software zoals Ccleaner en nu dus blijkbaar ook torrent clients. Het is gewoon een true/positive alleen wellicht niet gewenst.

https://en.wikipedia.org/wiki/Potentially_unwanted_program

Mocht je dit niet willen dan kun je ook gewoon Potentially unwanted app blocking disablen onder Reputation-based protection :)
Alle AV producten werken met reputatie scores gebasseerd op meerdere parameters.

Na de qBittorrent installer te bekijken,

-vereist admin rechten en wilt firewall regels aanpassen
-installer heeft geen signature

Vooral het ontbreken van de signature is een probleem, een installer van AMD die de handtekening van AMD draagt zal sowiezo goed scoren wat reputatie betreft. De handtekening van een obscure ontwikkelaar zal wat minder scoren maar een installer uitbrengen zonder handtekening is net zoals het niet ondertekenen van executables vragen aan de AV, gelieve mij te blokkeren.

Als je dan ook nog eens firewall rules wilt gaan aanpassen dan keldert je score nog meer. Defender is dus correct met dit tegen te houden, zo niet waren ze foutief met te adverteren dat ze reputation based protection aanbieden.
Eigenlijk wil Windows defender zowat dicteren wat je wel en niet op je PC mag hebben staan.
Nee want je kan het aan of uitzetten. Dus het is niet dicteren en zeker een handige functie, vooral in bedrijven om ongewenste software te voorkomen
qBittorrent doet niets op je computer tenzij je het een opdracht geeft. Daarnaast is het open-source.
Ik heb een vermoeden dat Microsoft geen goede motieven had in listen van qBittorrent als een PUA.
Door dit soort foutjes, nemen mensen idd aan dat het een 'valse positive'. Want ik kan natuurlijk niet besmet zijn. Naar mijn mening zeer kwalijk.
Dit is eerder gepost en niet iedereen heeft er last van, ik ook niet. Ik heb wel "Potentially unwanted app blocking" uitstaan in Security > App & Browser control.
De specifieke machine is een server die verder nergens voor gebruikt wordt dus het veiligheidsrisico is te overzien.
Ik heb een hekel aan Defender. Ik gebruik de laatste jaren alleen nog maar BitDefender Antivirus Free. Werkt perfect en is geen aanslag op je systeem.
Toch jammer dat hier alleen maar over 'office' wordt gesproken. LibreOffice gebruikers (en zelfs OpenOffice) hebben hier helemaal geen last van. Tenzij ze een document van een msOffice of Office365 gebruiker krijgen. Het is immers het document dat geblokkeerd wordt.

Daarmee zou ik ook graag weten of al duidelijk is of alle msOffice varianten getroffen zijn.
Ja, weer een artikel waarin ten onrechte "Office" wordt gebruikt in plaats van "MS Office".

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True