– Según los informes, Microsoft Defender para Endpoint está bloqueando la apertura de documentos de Office y el lanzamiento de una serie de archivos exe. Este es un problema nuevo, causado por Microsoft Defender para Endpoint al detectar un falso positivo (falso positivo) en archivos que se cree que están infectados con el malware Emotet.
Varios administradores de sistemas de Windows informaron que este problema ocurrió desde que actualizaron su plataforma de seguridad Microsoft Enterprise Endpoint, anteriormente llamada Microsoft Defender ATP, a la nueva versión 1.353.1874.0.
Cuando se activa, Defender for Endpoint bloqueará la apertura del archivo y mostrará un mensaje extraño que indica actividad relacionada en Win32/PowEmotet.SB o Win32/PowEmotet.SC.
“Encontramos este problema con la actualización de definición 1.353.1874.0 que detecta el sistema de impresión como Win32/PowEmotet/SB”, explicó un administrador.
“Vimos esta detección en las aplicaciones de Excel y otras aplicaciones de Office que usan MSIP.ExecutionHost.exe y splwow64.exe”, otro administrador que también ayudó a explicar el problema que estaban experimentando.
Mientras tanto, otro administrador también confirmó este problema después de actualizar su definición, “encontramos el mismo comportamiento, especialmente con la versión de definición 1.353.1874.0, que se acaba de publicar y una definición para Win32/PowEmotetSB y Win32/PowEmotet.SC”.
Cuando se probó con una máquina virtual de Windows 10 con la nueva firma de Microsoft Defender, la detección falsa apareció con el mensaje: Detectado: Comportamiento: Win32/PowEmotet.SB, Estado: Eliminado.
Hasta ahora, Microsoft no ha compartido información más detallada sobre las causas de los falsos positivos en Microsoft Defender para Endpoint. Lo más probable es que esto se deba a que la empresa está aumentando la sensibilidad en la detección de malware con un comportamiento similar al de Emotet que acaba de lanzarse, lo que hace que Microsoft Defender detecte con un alto nivel de sensibilidad y genere falsos positivos.
El cambio, supuestamente provocado por la reaparición de casos de dispositivos infectados con la botnet Emotet desde hace dos semanas, luego de que el grupo de investigación comenzara a encontrar TrickBot que cargaba Emotet en dispositivos infectados.
