Gần đây, Microsoft Defender for Endpoint bất ngờ chặn không cho mở các tài liệu Office và không cho chạy một số file thực thi. Lý do là vì Microsoft Defender nghi ngờ các file này có chứa mã độc Emotet. Nhưng vấn đề ở đây là không hề có con virus hay mã độc Emotet nào cả, phần mềm diệt virus của Microsoft đã thông báo sai và gây ra sự hoang mang không cần thiết.
Theo báo cáo của nhiều quản trị viên Windows, vấn đề này xảy ra sau khi Microsoft Defender for Endpoint cập nhật phiên bản mới 1.353.1874.0.
Khi được kích hoạt, Defender for Endpoint sẽ chặn mở file và đưa ra một thông báo đề cập đến hoạt động đáng ngờ có liên kết với Win32/PowEmote.SB hoặc Win32/PowEmote.SC.
"Chúng tôi đang gặp vấn đề với bản cập nhật định nghĩa 1.353.1874.0. Chiều nay, nó liệt một tiến trình in vào hành động của mã độc Win32/PowEmotet.SB", một quản trị viên chia sẻ.
"Chúng tôi thấy thông báo này khi mở Excel hoặc bất kỳ ứng dụng Office nào dùng MSIP.ExcutionHost.exe (AIP Sensitivity Client) và splwow64.exe", một quản trị viên khác cho biết.
Theo thử nghiệm của BleepingComputer, đúng là Microsoft Defender đã có vấn đề. Bạn có thể xem ảnh bên dưới:
Hiện tại Microsoft vẫn chưa thông tin về nguyên nhân gây ra vấn đề này. Nhưng rất có khả năng Microsoft đã tăng độ nhạy của Microsoft Defender để phát hiện ra mã độc Emotet nhanh hơn. Điều này khiên cho Defender bị quá nhạy cảm dẫn tới việc dễ xảy ra báo cáo sai, xác định nhầm.
Mã độc, hay chính xác là botnet Emotet gần đây đã hồi sinh mạnh mẽ. Có thể chính điều này đã khiến Microsoft cập nhật Defender để tăng cường khả năng bảo mật.
Mặc dù sự cố Microsoft Defender là không mong muốn. Tuy nhiên, điều tích cực là nó khiến các admin nâng cao cảnh giác hơn với Emotet. Một số người chia sẻ thật rằng sau khi nhận được thông báo của Microsoft Defender họ đã thực hiện những biện pháp bảo mật như ngắt mạng để hạn chế lây lan.
"Chúng tôi đã khắc phục vấn đề này cho những người dùng sử dụng kết nối điện toán đám mây và đang tìm cách khắc phục cho những người dùng khác", Microsoft tuyên bố.