Microsoft a résolu un problème connu qui a tourmenté les clients Windows Server pendant des semaines, empêchant le lancement de la plate-forme de sécurité d’entreprise Defender for Endpoint sur certains systèmes.
Lorsqu’il a reconnu le bug en novembre, Microsoft a expliqué que la solution de sécurité des terminaux (anciennement connue sous le nom de Microsoft Defender Advanced Threat Protection ou Defender ATP) n’a pas réussi à démarrer ou à s’exécuter sur les appareils exécutant des installations Windows Server Core.
Le problème n’affecte que les appareils sur lesquels les clients ont installé les mises à jour de sécurité Windows Server 2019 et Windows Server 2022 publiées lors du Patch Tuesday du mois dernier.
Microsoft a corrigé le bug avec la sortie de KB5008223 cette semaine dans le cadre du Patch Tuesday de décembre 2021.
Comme l’a révélé Redmond, KB5008223 « résout un problème connu qui pourrait empêcher Microsoft Defender for Endpoint de démarrer ou de s’exécuter sur des appareils dotés d’une installation Windows Server Core ».
Vous pouvez installer cette mise à jour cumulative via Windows Update et Microsoft Update, Windows Update for Business, Windows Server Update Services (WSUS) et le Catalogue de mise à jour Microsoft.
Rapports de crashs du Defender et de faux positifs
Après que Microsoft a confirmé ce problème de Defender for Endpoint, EZpublish-france.fr a également repéré rapports des plantages de Microsoft Defender Antivirus avec les notifications EventID 3002 (MALWAREPROTECTION_RTP_FEATURE_FAILURE) et les codes d’erreur « La protection en temps réel a rencontré une erreur et a échoué ».
Ils se sont produits après l’installation mises à jour du renseignement de sécurité entre les versions 1.353.1477.0 et 1.353.1486.0 et ont été corrigés par Microsoft avec la sortie de la version 1.353.1502.0.
Plus tard le mois dernier, Microsoft Defender for Endpoint a également effrayé les administrateurs Windows avec des faux positifs Emotet, car il a commencé à bloquer l’ouverture des documents Office et le lancement de certains exécutables, les étiquetant à tort comme pouvant regrouper des charges utiles de logiciels malveillants Emotet.
Bien que Microsoft n’ait pas révélé ce qui a déclenché ces faux positifs, la raison la plus probable était que la société a augmenté la sensibilité de détection des comportements de type Emotet, rendant son moteur de détection comportementale générique trop sensible.
Le changement a probablement été provoqué par la récente renaissance du botnet Emotet il y a deux semaines, lorsque le groupe de recherche Emotet Cryptolaemus, GData et Advanced Intel a commencé à voir TrickBot déployer des chargeurs Emotet sur des appareils infectés.
Depuis octobre 2020, les administrateurs Windows ont traité des problèmes similaires de faux positifs affectant Defender for Endpoint, notamment un qui marquait les périphériques réseau infectés par Cobalt Strike et un autre qui marquait les mises à jour Chrome comme des backdoors PHP.