背景圖片來源/ Marc-Olivier Jodoin on unsplash

Log4j漏洞引發全球企業人人自危,安全軟體告知系統有風險時會讓IT人員緊張不已,但最後是誤判也令人氣結。微軟端點安全軟體Defender for Endpoint近日就發生這樣的烏龍事件。

數名資安人員近日接到Defender for Endpoint發出「記憶體可能遭感測器竄改」(possible sensor tampering in memory)的警示訊息。經查是由一個名為OpenHandleCollector.exe的程式所觸發

事實上,OpenHandleCollector.exe是近日微軟上線的功能,是用於偵測磁碟上的Log4j執行個體,但似乎沒有公開宣布,並且觸發微軟自家端點安全工具的假警報。用戶分析OpenHandleCollector.exe設了一個控制代碼(handle)給SenseIR行程,而觸發感測器竄改警示,不過並非判斷成惡意檔案。

這個工具是因應Log4j漏洞及各種開採意圖,Defender新增的威脅漏洞管理的功能之一。微軟企業安全部門表示,目前正在研究並解決假警報的問題,以便及早釋出給受影響的系統。

Defender產品不時發生誤判。Defender端點安全產品本月初也曾誤判Office文件操作過程有近似勒索軟體Emotet特徵的行為,而不讓用戶開啟檔案。今年初也將Chrome 88 檔案誤判為後門程式

不過誤判總比真的被開採好。微軟及其安全廠商偵測,各種犯罪組織意圖經由開採Log4j漏洞植入挖礦程式、勒索軟體、木馬等惡意程式。已經有CVE-2021-44228及CVE-2021-45046遭到惡意開採。

 相關報導 


熱門新聞

Advertisement