Le scanner Microsoft Defender Log4j déclenche de fausses alertes positives

  • Principal
  • Nouvelles
  • Le scanner Microsoft Defender Log4j déclenche de fausses alertes positives

Microsoft Defender pour Endpoint affiche actuellement des alertes de « falsification de capteur » liées au scanner Microsoft 365 Defender récemment mis en œuvre par la société pour les processus Log4j.

Les alertes seraient affichées principalement sur Windows Server 2016 et conseiller 'Corruption de mémoire possible détectée par Microsoft Defender pour Endpoint' créée par un processus OpenHandleCollector.exe.

Les administrateurs traitent ce problème depuis au moins le 23 décembre de la deuxième année. relation client .

Bien que le comportement de ce processus Defender soit marqué comme malveillant, il n'y a rien à craindre car il s'agit de faux positifs, comment cela a été révélé par Tomer Teller, directeur de la gestion de projet pour le groupe central de Microsoft, Enterprise Security Posture.

Microsoft étudie actuellement ce Microsoft 365 Defender et travailler sur une solution que la société devrait bientôt livrer aux systèmes concernés.

« Cela fait partie du travail que nous avons effectué pour détecter les instances de Log4J sur disque. L'équipe étudie pourquoi elle déclenche l'alerte (évidemment, elle ne devrait pas) '', a expliqué Teller.

comme Microsoft partagé Mardi, ce scanner Log4j nouvellement implémenté a été déployé avec un nouveau tableau de bord Log4j du portail consolidé Microsoft 365 Defender pour la gestion des menaces et des vulnérabilités.

Le nouveau tableau de bord est conçu pour aider les clients à identifier et réparer les fichiers, les logiciels et les appareils exposés aux attaques qui exploitent les vulnérabilités de Log4j.

Depuis octobre 2020, les administrateurs Windows ont dû faire face à d'autres Defender for Endpoints, dont un qui marquait les documents Office comme des charges utiles de logiciels malveillants Emotet, un qui montrait des appareils réseau infectés par Cobalt Strike et un autre qui marquait les mises à jour de Chrome comme des portes dérobées PHP.

C'est une histoire qui évolue...

Qu'est-ce que tu penses?