開不了Office文件嗎?元兇說不定是微軟自家端點安全軟體Defender for Endpoint

近日許多人無法開啟Office文件,原因可能是微軟端點安全軟體Defender for Endpoint誤判檔案中內含殭屍網路病毒Emotet。

近日許多人無法開啟Office文件,原因可能是微軟端點安全軟體Defender for Endpoint誤判檔案中內含殭屍網路病毒Emotet。

本周Windows用戶和管理員紛紛通報在更新企業端點安全平台(舊名為Microsoft Defender ATP)的定義檔到1.353.1874.0版後,發生無法開啟Office文件及其他應用的事情。

在用戶欲開啟Office文件時,Microsoft Defender for Endpoint就封鎖不給開啟,並顯示錯誤訊息,表示有Win32/PowEmotet.SB 或 Win32/PowEmotet.SC的可疑活動。

有管理員抱怨,不論是Excel、或是任何使用MSIP.ExecutionHost.exe及splwow64.exe執行檔的Office App都會發生這情境。

微軟並未對此提供任何說明,不過有可能是微軟在最新定義檔中調升了偵測Emotet活動行為模式的敏感度,使Defender for Endpoint的通用行為偵測引擎變得太敏感而導致誤判。

而微軟之所以這麼做,可能和兩星期前Emotet殭屍網路死灰復燃有關。今年一月歐美警方已經將Emotet的伺服器查緝下線,但多家安全研究機構發現殭屍網路病毒TrickBot在受害機器上植入Emotot下載器。

由於Emotet是全球最大殭屍網路,一般IT管理員看到Defender for Endpoint的訊息都不敢掉以輕心,還有人立即行動,把資料中心幾乎完全拉下線。

微軟告訴媒體他們已經先解決了Defender for Endpoint雲端版的問題,現在正在解決桌機或手機版的問題。

這已不是Defender第一次誤判嚇壞人。去年10月Defender for Endpoint曾誤發出感染Cobalt Strike 的錯誤訊息,今年初也曾將Chrome更新檔誤判為PHP 後門程式。

來源:Bleeping Computer

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416