Microsoft patcht een bug in Defender die apps ten onrechte identificeert als Hive ransomware payloads.

Afgelopen weekend liepen Windows-gebruikers tegen een bug aan in Defender. De antivirusoplossing identificeerde Electron en Chromium workloads als dreigingen.

Meerdere gebruikers vernamen dat hun pc was geïnfecteerd met Win32/Hive.ZY malware. De alerts baarden zorgen. Honderden gebruikers zochten hulp op social media en forums.

Bug

Windows Defender beweerde dat de dreigingen in quarantine waren geplaatst. Na ongeveer twee minuten verscheen de melding opnieuw. De waarschuwingen veroorzaakten verwarring. Meerdere gebruikers controleerden de alerts met third-party tools, waaronder Malwarebytes.

De alerts werden getriggerd door populaire apps als Slack, Chrome, Edge, Discord en Spotify. Het starten van een getroffen applicatie activeerde de waarschuwing. Defender beweerde dat de dreiging was opgelost door de applicatie te verwijderen. In werkelijkheid waren de applicaties onaangetast en bleven de alerts binnenkomen.

Oorzaak

Gebruikers ontdekten dat de bug werd veroorzaakt door een Defender-update van zondag 4 september. Met verloop van de dag publiceerde Microsoft vier updates. De techgigant repareerde de bug uiteindelijk met versie 1.373.1537.0, ongeveer 12 uur nadat het probleem voor het eerst voorkwam. Windows-gebruikers worden geadviseerd om te updaten naar 1.373.1537.0 of een latere versie.

Tip: ‘Ransomwaregroep Hive raakt telecomgigant Altice’