По информации Bleeping Computer, в конце ноября системные администраторы стокнулись с ложноположительными срабатываниями корпоративной версии Microsoft Defender. Антивирусное ПО начало массово блокировать пользовательские файлы с пояснением, что обнаружена активность, связанная со зловредом Win32/PowEmotet.SB или Win32/PowEmotet.
Инцидент коснулся почти всех пользовательских файлов Excel и любого приложения Microsoft Office, которое задействовало приложения MSIP.ExecutionHost.exe и splwow64.exe.
Эксперты Bleeping Computer выяснили, что проблема появилась после получения последнего обновления платформы безопасности оконечных точек Microsoft (Defender ATP).
Через некоторое время после многочисленных жалоб пользователей Microsoft исправила в своем облачном сервисе эту проблему и пообещала выпустить заплатку, которая отключит уведомления и блокировку файлов со стороны Microsoft Defender по этому инциденту.
Пример ложноположительного срабатывания Microsoft Defender на вероятное поведение после заражения ботнетом Emotet.