Microsoft Defender gaf valspositieve ransomwaremeldingen bij Office-bestanden

Windows-systeembeheerders hebben op woensdag onterecht Defender-waarschuwingen gekregen over mogelijke ransomware op hun systemen. De enterpriseversie van Defender gaf valspositieven na updates van MS Office.

Onder andere op Reddit klagen tientallen gebruikers over onterechte meldingen over ransomware die op hun systemen zou staan. Het zou gaan om meerdere meldingen die binnenkwamen. Dat zou op woensdag rond de middag zijn begonnen. De waarschuwingen kwamen voor bij beheerders met een Defender for Endpoint-pakket, het enterprise-model van de beveiligingssoftware.

De meldingen zouden komen door een MS Office-update, specifiek OfficeSvcMgr.exe. Die zou onterecht melden dat MS Office-bestanden ransomware bevatten.

Microsoft-medewerker Steve Scholz zegt in een reactie op Reddit dat het ging om een valspositief. In een andere reactie zegt Scholz dat de error ontstond na een interne code-update van Defender, maar details daarover geeft hij niet. Het bedrijf heeft inmiddels een aanpassing gedaan, waardoor de valspositieven niet meer voorkomen. Het is niet duidelijk hoeveel beheerders de melding hebben gezien.

Door Tijs Hofmans

Nieuwscoördinator

17-03-2022 • 10:48

30

Reacties (30)

Sorteer op:

Weergave:

lol.. gelukkig werk ik niet nu maar dat had wel even een paniek uurtje geweest op lokatie :)
Maar beter zo dan andersom zal ik maar denken.
Ik vraag me af of veel klanten er net zo over denken. Het lijkt er namelijk niet op dat Microsoft hier even al die uren die ze onnodig veroorzaken gaat compenseren. Dat je blij mag zijn dat het niets was staat daar los van.
Ah, gisteren hebben we ook verschillende meldingen van onze on-premises Exchange gehad dat excel sheets die gemaild werden door onze gebruikers ineens malware zouden bevatten. Geen enkele virusccanner die er wat in kan detecteren. We gebruiken geen defender, maar de anti-malware scan-engine van Exchange zelf staat wel aan als 'extra' check. Wellicht gerelateerd aan elkaar.
Lekkere "screw-up" weer van MS.
Werd zo te zien getriggerd door SvcMgr.exe
Kijk maar eens in je tasklist, hoeveel van dit soort gelijkmatige processen er draaien. Ooit lopen ze inderdaad tegen de lamp aan. 8)7
Nou er was wel meer waar het fout ging.
Het gaf ook een Ransomeware activity met melding " Volume skadown copy deleted". terwijl het commando een vsc creation was.
Maar bij de alerts die wij kregen was er inderdaad Office update activiteit.
Microsoft schiet zichzelf wel vaker in de voet. Zo kwamen bij mij de mailtjes over het Windows insider program in de spambox van mijn Hotmailaccount.
Dit is toch geen nieuws? Ik heb al meerdere keren een redactie-tip ingestuurd over patches voor critical vulnr. in mac-os. Daarover wordt niet geschreven. Maar als een Microsoft product (nota bene een enterprise grade product, wat niet echt de doelgroep is van Tweakers en ook weinig kennis over is bij de redactie) een kleine bug bevat met enkele 10tallen meldingen, is dat ineens nieuwswaardig genoeg voor een artikel.

@Redactie: hier, een link naar alle huidige issues in Microsoft 365: https://admin.microsoft.c.../servicehealth/advisories
Genoeg voer voor nieuwe artikelen

Admin-edit:Bedankt voor je feedback. Commentaar voor de redactie hoort echter thuis in Geachte Redactie. Hier staat het de inhoudelijke discussie niet in de weg en kan de redactie het eenvoudig terugvinden.

[Reactie gewijzigd door Bor op 28 juli 2024 14:10]

Hoezo zijn enterprise grade products niet de doelgroep van Tweakers? Verder komen er duizenden tips per dag binnen als ik het goed heb. Het kan hierdoor lijkt mij erg lastig zijn om hier door heen te worstelen en mis je wel eens iets.

Edit: Je linkt nu naar een pagina die achter een muur zit. Ik kom er wel in met mijn enterprise account, maar zie eigenlijk niks bijzonders? Kan het zijn dat ik andere info zie dan dat jij ziet?

[Reactie gewijzigd door Lagonas op 28 juli 2024 14:10]

Omdat Tweakers weinig kennis heeft Enterprise producten. Niet alleen cloud oplossingen. Maar ook geen enterprise software en hardware oplossingen. Meeste artikelen gaan over consumenten producten, niet over nieuwe SAN oplossingen, of bladeservers, vmware, Zivver, etc, etc. En dat is prima. Maar dan vind ik het gek dat ze dit artikel plaatsen over iets heel kleins, zonder echte impact. Wat ook nog eens weinig Tweakers bezoekers treft. Maar iets als mac-os patches wordt gewoon niet gepost. Terwijl dat voor de doelgroep veel zinvoller is. Kijk eens naar hoeveel artikelen gewijd worden aan bugs in Windows, en hoe weinig in mac-os.

Update: trouwens, als er patches zijn voor critical issues in een bekend OS, dan zouden wij als lezer toch niet de trigger moeten zijn om daarover te schrijven? Dat moet toch op het netvlies staan van de redactie?

[Reactie gewijzigd door segil op 28 juli 2024 14:10]

Gaat het om tweakers.net of de tweakers die op tweakers.net zitten?
Dat tweakers.net geen kennis hiervan heeft wil ik wel geloven maar onder de tweakers op tweakers.net zijn er echt wel tweakers die wel kennis hebben van Enterprise producten,
ik ken er in ieder geval 1 (ikzelf)
Gaat het om tweakers.net of de tweakers die op tweakers.net zitten?
Ja.
ik ken er in ieder geval 1 (ikzelf)
Ik heb ook bepaalde technische kennis wat niet in het nieuws terugkomt en waarvan het onwaarschijnlijk is dat het significant in de T.net community vertegenwoordigd wordt. Dat hoeft van mij ook niet. Daar zijn weer andere plekken voor. :)

[Reactie gewijzigd door The Zep Man op 28 juli 2024 14:10]

Je hebt hier ook tweakers die zweren bij een Synology NAS als SAN inzetten bij klanten 8)7
Je linkt nu naar een pagina die achter een muur zit. Ik kom er wel in met mijn enterprise account, maar zie eigenlijk niks bijzonders? Kan het zijn dat ik andere info zie dan dat jij ziet?
Ik denk dat dat de grap is. Segil vind dit geen noemenswaardig nieuws terwijl het nieuws dat hij instuurt over kritieke problemen in macOS wordt genegeerd.

edit: Ah, segil was me al een paar minuten voor ;)

[Reactie gewijzigd door Waswat op 28 juli 2024 14:10]

Klopt :)

Het was een knipoog naar de redactie, dat als ze dit artikel nieuwswaardig vinden, ze nog veel meer artikelen kunnen schrijven m.b.v. dat overzicht van Microsoft.
Ik type mijn bericht als reactie op Zackito in 'Microsoft Defender gaf valspositieve ransomwaremeldingen bij Office-bestanden'

Geen idee waarom hij hier terrecht is gekomen.

[Reactie gewijzigd door turbojet80s op 28 juli 2024 14:10]

Uiteraard kan ik niet de gedachten zien van de redactie maar ik vermoed dat het mede komt omdat Microsoft hun eigen product als ransomware herkende. Het is dus niet alleen maar een algemene (critical) bug die zo vaak voorkomen.
...een enterprise grade product, wat niet echt de doelgroep is van Tweakers...
Ik ben benieuwd wat volgens jou dan wel de doelgroep van Tweakers is.

Volgens Tweakers zelf is het:
Inmiddels bestaat onze community uit meer dan een half miljoen leden met één grote passie: technologie.
[...]
Tweakers is met gemiddeld 4 miljoen bezoekers en 100 miljoen pageviews per maand de grootste elektronica- en technologiewebsite van Nederland en België.
Kijk eens in het forum en tel het aantal topics over Enterprise graded hardware/software/services. Vergelijk dat met het aantal topics over consumenten producten. Dan zie je dat de grootste focus ligt op consumenten hardware (cpu/mobo/gpu/etc), client OS (Windows 10 / mac-os) / gaming / mobile devices / smarthome / etc.
Dat er meer artikelen van een bepaald iets zijn betekend echter niet dat iets anders geen doelgroep is? Dat is wel een hele rare redenatie. Het kan ook zijn dat er over consumenten producten gewoon meer nieuws is en over meer gesproken wordt, maar hoe dat meteen enterprise producten compleet zou moeten afserveren als nieuws snap ik niet.
Dat zeg ik toch ook niet? Ik vind het alleen raar dat over iets kleins en onbeduidend als dit onderwerp, daarover een artikel wordt gewijd. Over een product dat buiten de reguliere scope valt van de redactie. Waar ook nog eens weinig lezers mee te maken hebben (alleen M365 admin in een organisatie met dit product kunnen deze meldingen voorbij zien komen).

Er zijn tientallen van dit soort minor issues. In M365, in Google GSuite. In vmware vcenter. In Nutanix bladeservers. In Zabbix monitoring services. En in vele vele vele andere producten. Allemaal producten waar vast gebruikt wordt gemaakt door een klein deel van de bezoekers. Daar wordt allemaal niet over geschreven. En logisch ook, want dat is ondoenlijk. Dus waarom dit nu dan ineens wel?
Je gebruikt elke keer termen zoals klein, onbeduidend, maar hoe weet jij hoe groot dit is? Er worden nergens nummers genoemd. Er is enkel een Reddit pagina gelinkt. niet iedereen komt daar.

Ik vind het erg fijn om te weten dat meldingen die we krijgen false positive zijn, dat scheelt namelijk erg veel onderzoek aan mijn kant. Daar voor zit ik ook op Tweakers. Ik kom namelijk niet op elke Reddit pagina die er bestaat. Daarom snap ik absoluut niet hoe je aan het idee komt dat enterprise producten niet de doelgroep van Tweakers is. Tweakers zit vol met systeembeheerders en engineers die bij enterprise bedrijven werken.
Serieus, jij komt op Tweakers om te lezen over verstoringen in M365? :D
Als jij inderdaad iets aan beheer doet in M365, dan ken je deze vast wel: https://admin.microsoft.c.../servicehealth/advisories
Dat moet jouw bron zijn. Niet Tweakers.

Verder negeer je mijn opmerking over alle andere enterprise producten met alle 100000den minor issues, waar nooit over geschreven worden. Prima.
Ik zeg nergens dat ik enkel op Tweakers kom hiervoor. Ik zeg dat ik OOK hiervoor op Tweakers kom. Er zijn echter genoeg verstoringen die al publiekelijk zijn maar nog niet door een fabrikant bevestigd. Daarin kan het soms handig zijn om er informatie over te krijgen.

Verder heb jij op genoeg punten delen van andere reacties genegeerd, dus daar ga ik maar niet op in.

Het is echter overduidelijk dat we hier in niet op 1 lijn gaan komen, dus bij deze wens ik je een fijne dag.
Omdat er dagelijks nieuws is over enterprise producten. De trend op Tweakers is alles aan tech te linken, dus waarom niet aan enterprise tech.

Miep uit Nergenshuizen doet mee aan de wereldkampioenschappen breien volgens een bericht dat ze met haar iPhone op Facebook schreef. Dit komt op Tweakers omdat een iPhone en Facebook tech zijn.

Of: "Putin appte vanaf zijn toilet met een generaal".
100% politieke discussie in een tech jasje, want een appje sturen is echt tech nieuws!

Er is vast wel nieuws over een zeilwedstrijd die gewonnen werd door de vriend v/d dochter van iemand die enterprise software gebruikt.

En als "Apple brengt iOS upgrade van 15.0.0.0.0.1 naar 15.0.0.0.0.2 uit" nieuws is dan is er ook wel enterprise nieuws te vinden over upgrades.

Dus ruim voldoende enterprise artikelen.
Kijk eens in de laatste bezoekerstatistieken die gepubliceerd zijn, daar kwam maar 2% vanaf een Linux OS. Moet Tweakers dan maar geen nieuws meer over Linux brengen? Het marktaandeel van Windows was toen bijna 40%, moet dan 2 op de 5 artikelen over Windows gaan?

Het artikel met de meeste comments vandaag (op dit moment) gaat over dat Oekraïne de handel in cryptovaluta wettelijk gaat toestaan en reguleren. Heeft Tweakers.net kennis van Oekraïne wet- en regelgeving omtrent cryptovaluta? Hoeveel procent van bezoekers van Tweakers.net zal daadwerkelijk te maken gaan krijgen met deze wet- en regelgeving? Als ik jouw redenatie zou volgens dan zou dit artikel dus ook geen bestaansrecht hebben op Tweakers.net.
Je overdrijft. Lees ff mijn reacties opnieuw door.

Op dit item kan niet meer gereageerd worden.