Microsoft Defender pour Endpoint a marqué les mises à jour de Google Chrome fournies via Google Update comme une activité suspecte en raison d’un problème de faux positif.
Selon les rapports des administrateurs système Windows [1, 2, 3, 4]la solution de sécurité (anciennement connue sous le nom de Microsoft Defender ATP) a commencé à marquer les mises à jour de Chrome comme suspectes à partir d’hier soir.
Ceux qui ont rencontré ce problème ont signalé avoir vu des alertes « Incident en plusieurs étapes impliquant l’exécution et l’évasion de la défense » sur les points de terminaison Windows concernés surveillés à l’aide de Defender pour point de terminaison.
Dans un avis de service Microsoft 365 Defender publié après que des rapports de ces alertes alarmantes ont commencé à apparaître en ligne, Microsoft a révélé qu’elles avaient été déclenchées par erreur par un faux positif et non en raison d’une activité malveillante.
« Les administrateurs peuvent recevoir une fausse alerte positive pour Google Update sur Microsoft Defender pour les appareils surveillés Endpoint », a déclaré Microsoft.
Environ une heure et demie plus tard, l’avis a été mis à jour, Redmond indiquant que le problème des faux positifs avait été résolu et que le service avait été rétabli.
Les administrateurs Windows ont dû faire face à plusieurs autres problèmes de faux positifs de Defender for Endpoint au cours des deux dernières années.
Par exemple, ils ont été touchés par une vague d’alertes Defender for Endpoint où les mises à jour Office ont été marquées comme malveillantes dans des avertissements pointant vers un comportement de rançongiciel détecté sur les terminaux Windows.
En novembre, Defender ATP a bloqué l’ouverture ou le lancement de documents Office et de certains exécutables Office en raison d’un autre faux positif marquant les fichiers chargés par le logiciel malveillant Emotet.
Un mois plus tard, il affichait par erreur des alertes « sabotage de capteur » liées au Analyseur Microsoft 365 Defender pour les processus Log4j.
Parmi les autres problèmes similaires de Defender for Endpoint, citons les alertes de périphériques réseau infectés par les mises à jour Cobalt Strike et Chrome en tant que portes dérobées PHP, toutes deux causées par des détections de faux positifs.
Un porte-parole de Microsoft a déclaré qu’il reviendrait avec des informations supplémentaires si elles étaient disponibles lorsqu’il serait contacté par EZpublish-france.fr plus tôt dans la journée.