Встренный антивирус Windows объявил вредоносными Zoom и сервисы Google, напрямую конкурирующие с Microsoft Teams
Microsoft Defender начал внезапно помечать безобидные адреса, в частности принадлежащие Google и Zoom, как представляющие угрозу, тем самым доставив немалую головную боль администраторам Windows – некоторые из них получили сотни уведомлений о небезопасных действиях пользователя. С начала 2023 г.. это уже второй случай ложного срабатывания Defender подобного масштаба.Взбесившийся Microsoft Defender
Администраторы Windows массово пожаловались на огромное количество ложных срабатываний ИБ-сервиса Microsoft Defender на адреса легитимных веб-ресурсов в почтовой переписке пользователей, пишет The Register.
Примечательно, что подобным образом, по информации издания, «Защитник» реагировал в том числе и на URL, принадлежащие компаниям Google и Zoom, которые, в частности, предлагают сервисы Google Meet и Zoom, являющиеся прямыми конкурентами коммуникационной платформы Microsoft Teams.
Однако в случае с Google дело одним Meet не ограничивалось. Некоторые из комментаторов соответствующей темы на Reddit утверждали, что подозрение у Defender вызывали не только ссылки, но и файлы, присланные по электронной почте с адресов сервиса Google – Gmail. Так, один из участников обсуждения заявил, что сервис безопасности Microsoft ошибочно промаркировал как угрозу файлы изображений, полученные одним из пользователей на корпоративную почту с личной в зоне @gmail.com. Изображения, по его словам, представляли собой всего лишь фотографии документов.
Один из читателей издания рассказал журналистам о том, что в его организации администраторы получили более сотни уведомлений о факте перехода рядовых пользователей по потенциально опасным ссылкам в приложениях Office 365. На поверку это оказались URL в пределах домена zoom.us, то есть официального сайта Zoom. Он также посетовал на то, что расследование подобных инцидентов отнимает значительное количество времени.
Как Microsoft Defender чинила
Спустя несколько часов с момента начала бурного обсуждения некорректной работы службы Defender в интернете официальный Twitter-аккаунт Microsoft (Microsoft 365 Status) опубликовал сообщение, в котором подтвердил информацию о случаях ложного срабатывания «Защитника» и уведомил о поиске специалистами компании причин неполадок в работе системы.
В следующем сообщении, появившемся примерно через час, подчеркивалось, что несмотря на наличие проблемы, фактически сервис никак не препятствует переходу пользователей по небезопасным с его точки зрения адресам.
По прошествии еще нескольких часов Microsoft сообщила, что ей удалось найти «виновника» проблемы. Им оказался модуль SafeLinks сервиса Microsoft Defender for Office 365, который осуществляет сканирование ссылок в почтовой переписке, мессенджере Teams и других источниках с целью выявления спама и фишинговых ссылок. Согласно заявлению «Редмондского гиганта», специалисты компании ранее внесли некоторые корректировки в работу функции SafeLinks, которые и стали причиной ложных срабатываний (“We determined that recent additions to the SafeLinks feature resulted in the false alerts”). Проблема в итоге была решена откатом недавних изменений, о подробностях которых Microsoft умалчивает.
Другие случаи ложного срабатывания Defender
Microsoft Defender чаще, чем того бы хотелось администраторам и пользователям Windows, озадачивает их своей неадекватной реакцией на привычные программы и сервисы.
В январе 2023 г. корпоративная версия «Защитника» – Defender for Endpoint с набором сигнатур 1.381.2140.0 – начала удалять ярлыки пользовательских приложений, расположенные на рабочем столе Windows и в меню «Пуск» операционной системы. Microsoft выпустила исправление и специальный скрипт PowerShell, который должен был помочь администратором восстановить утраченные ярлыки.
В сентябре 2022 г. жертвами «Защитника» стали легитимные приложения, построенные с использованием фреймворка Electron. К таковым, в частности, относятся браузер Chrome, клиент музыкального стримингового сервиса Spotify и популярный среди поклонников онлайн-игр мессенджер Discord. Причиной ложных срабатываний, как и в предыдущем случае, стала ошибка, закравшаяся, в антивирусные базы Defender.
В марте 2022 г. CNews сообщил о том, что Defender начал ошибочно помечать компоненты пакета Microsoft Office как вредоносное ПО. Редмондцы тогда оперативно устранили проблему, которая возникла в результате обновления определений угроз.