NESABAMEDIA.COM – Microsoft Defender for Endpoint saat ini dilaporkan memblokir dokumen Office untuk bisa dibuka dan sejumlah file exe untuk diluncurkan. Ini adalah sebuah masalah baru, yang disebabkan karena Microsoft Defender for Endpoint itu salah mendeteksi (false positive) pada file yang dianggap terinfeksi malware Emotet.
Sejumlah admin sistem Windows melaporkan bahwa masalah ini terjadi sejak mereka memperbarui platform keamanan Microsoft Enterprise Endpoint mereka, yang sebelumnya bernama Microsoft Defender ATP, ke versi baru yakni 1.353.1874.0.
Ketika terpicu, Defender for Endpoint akan memblokir file untuk terbuka dan menampilkan pesan aneh yang menyebut adanya aktivitas terkait pada Win32/PowEmotet.SB atau Win32/PowEmotet.SC.
“Kami menemukan masalah ini dengan pembaruan definisi 1.353.1874.0 yang mendeteksi sistem pencetakan sebagai Win32/PowEmotet/SB,” salah seorang admin menjelaskan.
“Kami melihat deteksi ini pada aplikasi Excel, dan aplikasi Office lainnya yang menggunakan MSIP.ExecutionHost.exe dan splwow64.exe,” admin lain yang juga turut menjelaskan masalah yang mereka alami.
Sementara itu, admin lainnya juga mengkonfirmasi adanya masalah ini setelah memperbarui definisi mereka, “kami menemukan perilaku yang sama khususnya dengan definisi versi 1.353.1874.0, yang baru saja diluncurkan dan sebuah definisi untuk Win32/PowEmotetSB dan Win32/PowEmotet.SC”.
Saat diuji coba dengan mesin virtual Windows 10 dengan signature Microsoft Defender yang baru, deteksi yang salah itu memang muncul dengan pesan : Detected: Behaviour:Win32/PowEmotet.SB, Status: Removed.
Microsoft sampai saat ini masih belum berbagi info yang lebih detail mengenai apa penyebab false positive pada Microsoft Defender for Endpoint ini. Kemungkinan besar, hal ini dikarenakan perusahaan sedang meningkatkan sensitivitas dalam pendeteksian malware dengan perilaku mirip Emotet yang baru saja dirilis, yang membuat Microsoft Defender mendeteksi dengan tingkat sensitivitas yang tinggi dan berujung pada false positive.
Perubahan itu, diduga dipicu oleh kembali maraknya kasus perangkat terinfeksi botnet Emotet sejak dua minggu yang lalu, setelah kelompok peneliti mulai menemukan TrickBot yang memuat Emotet pada perangkat yang terinfeksi.
Download berbagai jenis aplikasi terbaru, mulai dari aplikasi windows, android, driver dan sistem operasi secara gratis hanya di Nesabamedia.com: