Log4j漏洞引发全球企业人人自危,安全软件告知系统有风险时会让IT人员紧张不已,但最后是误判也令人气结。微软端点安全软件Defender for Endpoint近日就发生这样的乌龙事件。
数名安全人员近日接到Defender for Endpoint发出“内存可能遭传感器篡改”(possible sensor tampering in memory)的警示消息。经查是由一个名为OpenHandleCollector.exe的程序所触发。
事实上,OpenHandleCollector.exe是近日微软上线的功能,是用于侦测磁盘上的Log4j执行实例,但似乎没有公开宣布,并且触发微软自家端点安全工具的假警报。用户分析OpenHandleCollector.exe设了一个句柄(handle)给SenseIR行程,而触发传感器篡改警示,不过并非判断成恶意文件。
这个工具是应对Log4j漏洞及各种开采意图,Defender添加的威胁漏洞管理的功能之一。微软企业安全部门表示,目前正在研究并解决假警报的问题,以便尽早发布给受影响的系统。
Defender产品不时发生误判。Defender端点安全产品本月初也曾误判Office文件操作过程有近似勒索软件Emotet特征的行为,而不让用户打开文件。今年初也将Chrome 88文件误判为后门程序。
不过误判总比真的被开采好。微软及其安全厂商侦测,各种犯罪组织意图经由开采Log4j漏洞植入挖矿程序、勒索软件、木马等恶意程序。已经有CVE-2021-44228及CVE-2021-45046遭到恶意开采。