{"id":263475,"date":"2022-03-17T13:05:27","date_gmt":"2022-03-17T12:05:27","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263475"},"modified":"2024-02-04T21:42:39","modified_gmt":"2024-02-04T20:42:39","slug":"microsoft-defender-erkennt-office-updates-als-ransomware-aktivitten-16-3-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/17\/microsoft-defender-erkennt-office-updates-als-ransomware-aktivitten-16-3-2022\/","title":{"rendered":"Microsoft Defender erkennt Office-Updates als Ransomware-Aktivitäten (16.3.2022)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Sieht nach einem klassischen Fehlalarm aus, den sich der Microsoft Defender am gestrigen Mittwoch (16. M\u00e4rz 2022) geleistet hat. Wenn bei euch auf Systemen pl\u00f6tzlich Updates von Microsoft Office als Ransomware in Quarant\u00e4ne geschoben wurde, wart ihr von diesem Fall betroffen.<\/p>\n

<\/p>\n

\"\"Gestern war bei einigen Administratoren die H\u00f6lle los, denn der Microsoft Defender lief auf Windows-Maschinen Amok. Auf reddit.com gibt es diesen Thread<\/a>, der das Ganze aufgreift. Ein Betroffener fragt, ob andere auch vom Defender dar\u00fcber informiert wurden, dass Office-Dateien als sch\u00e4dlich erkannt wurden.<\/p>\n

Defender Alerts for Ransomware regarding Office<\/p>\n

Looks like MS goofed the Security definitions again, seeing false positives from Office come through on ATP like the issue a few months ago. Anyone else getting Defender alerts?<\/p><\/blockquote>\n

Ein anderer Betroffener best\u00e4tigt das Ganze und schreibt in seiner Erwiderung, dass ein Ransomware-Verhalten im Dateisystem gemeldet worden sei:<\/p>\n

YES! Downpour of ransomware alerts right now! \"Ransomware behavior detected in the file system\"<\/p><\/blockquote>\n

Im betreffenden Thread gibt es einen Reihe Betroffener, die sich darauf gemeldet haben und das Problem best\u00e4tigten. Auch auf Twitter gab es entsprechende Meldungen hier<\/a>, hier<\/a> und hier<\/a>.<\/p>\n

\"Defender<\/a><\/p>\n

Ich konnte gestern wegen Server-Problemen nicht reagieren. Aber die Kollegen von Bleeping Computer haben es zeitnah in einem Beitrag<\/a> aufgegriffen.<\/p>\n

\"Defender<\/a><\/p>\n

Inzwischen hat Microsoft das Problem wohl best\u00e4tigt und behoben. Hier die Statements:<\/p>\n

Starting on the morning of March 16th, customers may have experienced a series of false-positive detections that are attributed to a Ransomware behavior detection in the file system. Admins may have seen that the erroneous alerts had a title of 'Ransomware behavior detected in the file system,' and the alerts were triggered on OfficeSvcMgr.exe.<\/p>\n

Our investigation found that a recently deployed update within service components that detect ransomware alerts introduced a code issue that was causing alerts to be triggered when no issue was present. We deployed a code update to correct the problem and ensure that no new alerts will be sent, and we've re-processed a backlog of alerts to completely remediate impact.<\/p><\/blockquote>\n

Es war also ein Fehlalarm und Microsoft hat Code publiziert, um diese Fehlalarme zuk\u00fcnftig zu verhindern.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sieht nach einem klassischen Fehlalarm aus, den sich der Microsoft Defender am gestrigen Mittwoch (16. M\u00e4rz 2022) geleistet hat. Wenn bei euch auf Systemen pl\u00f6tzlich Updates von Microsoft Office als Ransomware in Quarant\u00e4ne geschoben wurde, wart ihr von diesem Fall … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[161],"tags":[2699,4313],"class_list":["post-263475","post","type-post","status-publish","format-standard","hentry","category-virenschutz","tag-defender","tag-virenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263475","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263475"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263475\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263475"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263475"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263475"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}