微軟衛士近期一次云端更新，導致客戶終端上的Office更新文件被檢測為“勒索軟件活動”，幾小時內在網絡上引發了大量吐槽。

　　3月16日，微軟衛士終端版（Microsoft Defender for Endpoint）的一波誤報令Windows系統管理員們大驚失色。在對系統進行勒索軟件掃描時，Office更新居然被標記為惡意活動。

　　根據Windows系統管理員們的上報來看，幾小時內這一問題已經遍地開花，引得“勒索軟件警報此起彼伏”。

　　隨著報告數量的激增，微軟確認稱，這次Office更新由于誤報而被錯誤標記成了勒索軟件活動。

　　微軟還稱，工程師們已經更新了云端邏輯，消除了原有誤報，并避免未來再出現類似的警報。

　　微軟在收到用戶報告后表示，“自3月16日上午開始，客戶可能經歷一系列檢測誤報。這些檢測旨在識別文件系統內的勒索軟件活動。管理員們看到的誤報標題為「在文件系統中檢測到勒索軟件活動」，觸發警報的是OfficeSvcMgr.exe。”

　　“我們在調查中發現，檢測勒索軟件警報服務組件新近部署了一項更新，正是這項更新引入了代碼問題，導致可能在沒有問題時觸發警報。我們已經發布代碼更新糾正了問題，并確保后續不會出現新的警報提醒。我們也重新處理了積壓警報，希望徹底消除此次意外造成的影響。”

　　云端邏輯更新之后，勒索軟件活動誤報確實不再出現。而且無需管理員干預，所有誤報記錄將會自動從門戶中消除。

　　微軟衛士的誤報史

　　微軟表示，該問題“可能會影響”在微軟衛士終端版觀察勒索軟件活動的管理員。

　　引發誤報的根本原因，是微軟衛士最近在服務組件中部署了一項專門檢測勒索軟件警報的更新。

　　更新引入了一個代碼問題，導致在系統上不存在勒索軟件活動時，仍錯誤觸發警報。

　　2021年11月，微軟衛士就出現過類似的誤報問題，導致正常文件被標記為Emotet惡意軟件有效載荷，Office文檔及部分Office可執行文件無法正常打開。

　　一個月后，微軟衛士又將自家剛剛為Log4j進程部署的微軟衛士365掃描程序標錯，發出“傳感器篡改”警報。

　　自從2020年10月以來，管理員們已經一次又一次面對微軟衛士終端版的離譜表現，包括一次針對Cobalt Strike的網絡設備感染警報、一次將Chrome更新標記為PHP后門的警報。

　　我們已就此事與微軟發言人取得聯系，對方表示目前無法發表任何評論。