Microsoft Defender for Endpoint affiche actuellement des alertes de « falsification du capteur » liées au nouveau scanner Microsoft 365 Defender de l’entreprise pour les processus Log4j.
Les alertes seraient principalement affichées sur les systèmes Windows Server 2016 et prévenir de « une altération possible du capteur dans la mémoire a été détectée par Microsoft Defender for Endpoint » créé par un processus OpenHandleCollector.exe.
Les administrateurs traitent ce problème depuis au moins le 23 décembre, selon rapports clients.
Bien que le comportement de ce processus Defender soit étiqueté comme malveillant, il n’y a pas lieu de s’inquiéter puisqu’il s’agit de faux positifs, Comme révélé par Tomer Teller, principal Group PM Manager chez Microsoft, Enterprise Security Posture.
Microsoft étudie actuellement ce problème de Microsoft 365 Defender et travaille sur un correctif que la société devrait bientôt fournir aux systèmes concernés.
Bonjour, nous sommes désolés que vous rencontriez des problèmes et nous avons transmis cette information à notre équipe. Nous aimerions également que l’équipe d’assistance y jette un œil, voici comment ouvrir un dossier : https://t.co/UZQxhQebxi
– Sécurité Microsoft (@msftsecurity) 29 décembre 2021
« Cela fait partie du travail que nous avons effectué pour détecter les instances Log4J sur le disque. L’équipe analyse pourquoi cela déclenche l’alerte (cela ne devrait bien sûr pas) », a expliqué Teller.
En tant que Microsoft partagé Mardi, ce scanner Log4j nouvellement déployé a été déployé avec un nouveau tableau de bord Log4j du portail Microsoft 365 Defender consolidé pour la gestion des menaces et des vulnérabilités.
Le nouveau tableau de bord est conçu pour aider les clients à identifier et à corriger les fichiers, logiciels et appareils exposés aux attaques exploitant les vulnérabilités de Log4j.
Depuis octobre 2020, les administrateurs Windows devaient traiter avec d’autres Defender for Endpoint, dont un qui marquait les documents Office comme charges utiles de logiciels malveillants Emotet, un qui montrait des périphériques réseau infectés par Cobalt Strike et un autre qui marquait les mises à jour Chrome comme des backdoors PHP.
Même. et on dirait que cela a quelque chose à voir avec la recherche de log4j basé sur la ligne de commande. les e-mails ont commencé au cours de la dernière heure pour moi et ne se sont pas arrêtés
« OpenHandleCollector.exe » -p:java.exe -p:javaw.exe -p:eclipse.exe -f:log4j
– Blake (@irestartpcs) 29 décembre 2021
Ceci est une histoire en développement …