16 марта 2022 года Microsoft Defender начал предупреждать корпоративных клиентов о наличии зловреда в официальном обновлении MS Office. Антивирусное решение обнаружило код программы-вымогателя в компоненте обновления OfficeSvcMgr.exe. По факту это оказалось ложноположительное срабатывание, но системных администраторов по всему миру эти уведомления заставили понервничать.
Microsoft занялась инцидентом через несколько часов, после получения большого количества жалоб от корпоративных клиентов.
Представитель компании рассказал, что разработчики уже исправили работу алгоритма системы защиты, чтобы устранить проблему. Он пояснил, что она возникла из-за недавно развернутого обновления в компонентах службы Microsoft Defender для обнаружения и предупреждения о программах-вымогателях. Из-за ошибок в коде этого обновления начали появляться ложные предупреждения о наличии зловредов в коде легальных приложений. Причем триггер алгоритма предупреждения отрабатывался в тот момент, когда не было никакой активности со стороны как программ-вымогателей, находящихся в системе, так и простых приложений.
В Microsoft не раскрыли, почему алгоритм антивируса отреагировал именно на компонент OfficeSvcMgr.exe, хотя на другие файлы не было ложных срабатываний.
В конце ноября 2021 года системные администраторы уже сталкивались с ложноположительными срабатываниями корпоративной версии Microsoft Defender. Антивирусное ПО начало массово блокировать пользовательские файлы с пояснением, что обнаружена активность, связанная со зловредом Win32/PowEmotet.SB или Win32/PowEmotet. Тогда инцидент коснулся почти всех пользовательских файлов Excel и любого компонента Microsoft Office, которое задействовало приложения MSIP.ExecutionHost.exe и splwow64.exe. Microsoft исправила баг в своем облачном сервисе выпустила заплатку, которая отключила уведомления и блокировку файлов со стороны Microsoft Defender по этому инциденту.
