Específicamente, las alertas erróneas se titulaban “Comportamiento de ransomware detectado en el sistema de archivos” y se activaban en “OfficeSvcMgr.exe”, dijo Microsoft. Las alertas se produjeron durante aproximadamente dos horas el miércoles 16 de marzo por la tarde.
Según información de administradores de TI en empresas, los archivos de Microsoft Office se marcaban como ransomware en Microsoft for Endpoint, mientras que otros comportamientos, como la eliminación de las copias de seguridad, también provocaron alertas falsas.
La compañía explicó que una actualización reciente que implementó “dentro de los componentes de servicio que detectan las alertas de ransomware” introdujo un problema de código que llevó a falsas detecciones de ransomware en la solución de seguridad de la compañía.
Microsoft ha emitido otra actualización de código que debería corregir el problema, según Steve Sholz, especialista técnico principal de Microsoft. Sholz dijo que Microsoft ha actualizado su lógica en la nube para suprimir las alertas de falsos positivos y ha vuelto a procesar una acumulación de alertas para “remediar completamente el impacto”. Los falsos positivos deberían desaparecer de los portales de clientes sin que sea necesaria intervención alguna por parte de ellos.
Scholz señala finalmente que Microsoft está investigando cómo el error de código se deslizó a través de sus procesos de prueba y validación, con la esperanza de evitar que se produzcan problemas similares en el futuro.
