吳明宜開不了 Office 文件嗎?元兇說不定是微軟自家端點安全軟體 Defender for Endpoint
近日許多人無法開啟 Office 文件,原因可能是微軟端點安全軟體 Defender for Endpoint 誤判檔案中內含殭屍網路病毒 Emotet。
本周 Windows 用戶和管理員紛紛通報在更新企業端點安全平台(舊名為 Microsoft Defender ATP)的定義檔到 1.353.1874.0 版後,發生無法開啟 Office 文件及其他應用的事情。
在用戶欲開啟 Office 文件時,Microsoft Defender for Endpoint 就封鎖不給開啟,並顯示錯誤訊息,表示有 Win32/PowEmotet.SB 或 Win32/PowEmotet.SC 的可疑活動。
有管理員抱怨,不論是 Excel、或是任何使用 MSIP.ExecutionHost.exe 及 splwow64.exe 執行檔的 Office App 都會發生這情境。
微軟並未對此提供任何說明,不過有可能是微軟在最新定義檔中調升了偵測 Emotet 活動行為模式的敏感度,使 Defender for Endpoint 的通用行為偵測引擎變得太敏感而導致誤判。
而微軟之所以這麼做,可能和兩星期前 Emotet 殭屍網路死灰復燃有關。今年一月歐美警方已經將 Emotet 的伺服器查緝下線,但多家安全研究機構發現殭屍網路病毒 TrickBot 在受害機器上植入 Emotot 下載器。
由於 Emotet 是全球最大殭屍網路,一般 IT 管理員看到 Defender for Endpoint 的訊息都不敢掉以輕心,還有人立即行動,把資料中心幾乎完全拉下線。
微軟告訴媒體他們已經先解決了 Defender for Endpoint 雲端版的問題,現在正在解決桌機或手機版的問題。
這已不是 Defender 第一次誤判嚇壞人。去年 10 月 Defender for Endpoint 曾誤發出感染 Cobalt Strike 的錯誤訊息,今年初也曾將 Chrome 更新檔誤判為 PHP 後門程式。