微軟Log4j漏洞掃瞄工具引發Defender假警報

Log4j漏洞引發全球企業人人自危，安全軟體告知系統有風險時會讓IT人員緊張不已，但最後是誤判也令人氣結。微軟端點安全軟體Defender for Endpoint近日就發生這樣的烏龍事件。

數名資安人員近日接到Defender for Endpoint發出「記憶體可能遭感測器竄改」（possible sensor tampering in memory）的警示訊息。經查是由一個名為OpenHandleCollector.exe的程式所觸發。

事實上，OpenHandleCollector.exe是近日微軟上線的功能，是用於偵測磁碟上的Log4j執行個體，但似乎沒有公開宣布，並且觸發微軟自家端點安全工具的假警報。用戶分析OpenHandleCollector.exe設了一個控制代碼（handle）給SenseIR行程，而觸發感測器竄改警示，不過並非判斷成惡意檔案。

這個工具是因應Log4j漏洞及各種開採意圖，Defender新增的威脅漏洞管理的功能之一。微軟企業安全部門表示，目前正在研究並解決假警報的問題，以便及早釋出給受影響的系統。

Defender產品不時發生誤判。Defender端點安全產品本月初也曾誤判Office文件操作過程有近似勒索軟體Emotet特徵的行為，而不讓用戶開啟檔案。今年初也將Chrome 88 檔案誤判為後門程式。

不過誤判總比真的被開採好。微軟及其安全廠商偵測，各種犯罪組織意圖經由開採Log4j漏洞植入挖礦程式、勒索軟體、木馬等惡意程式。已經有CVE-2021-44228及CVE-2021-45046遭到惡意開採。

 相關報導