Microsoft Defender for Endpoint heeft systeembeheerders overspoeld met valse meldingen. De dienst heeft meerdere sites gemarkeerd voor zogenaamd hergebruik van wachtwoorden. Ondanks klachten van beheerders heeft de techgigant geen duidelijke uitleg gegeven.
Gebruikers hebben ontkend wachtwoorden te hergebruiken op de door het systeem gemarkeerde sites. Meerdere subdomeinen van SaaS-platforms zijn echter gemarkeerd voor hergebruik van wachtwoorden. Sommige beheerders denken dat het probleem kan zijn ontstaan doordat Defender for Endpoint ten onrechte SSO-domeinen als aandachtspunt aanmerkt.
Een gebruiker schreef dat hij in één dag 17 valse meldingen had ontvangen voor hergebruik van wachtwoorden, en veel waarschuwingen gingen vergezeld van “about:blank” als het veronderstelde domein met hergebruik van wachtwoorden.
Phishing
De waarschuwing zelf ontbreekt schijnbaar in de documentatie van Microsoft. De waarschuwingen komen alleen van Windows 11-apparaten, en hebben bijna allemaal betrekking op vermeend hergebruik van wachtwoorden op Microsoft-domeinen. In een zes maanden oude thread zijn tal van commentatoren verschenen die hulp zoeken bij onverklaarbare waarschuwingen die zij hebben ontvangen.
Eén gebruiker suggereerde op Twitter dat het probleem verband zou kunnen houden met de verbeterde phishingbescherming die Microsoft in september 2022 heeft ingevoerd. Het bedrijf wilde gebruikers waarschuwen tegen het hergebruik van wachtwoorden. Microsoft Defender heeft echter bij meerdere eerdere gelegenheden gebruikers ten onrechte overspoeld met waarschuwingen.
In september 2022 verwarde de app software voor ransomware, waaronder populaire browsers en productiviteitsapps zoals Chrome, Slack en Microsoft Edge.
Oplossingen
Microsoft pakte andere false positives aan in januari 2023 nadat een foutieve update snelkoppelingen verwijderde die ten onrechte als malware werden geïdentificeerd. Hoewel Microsoft scripts heeft uitgebracht om het probleem te verhelpen, verklaarden sommige beheerders dat deze onvolmaakt waren en de zaken niet volledig hebben rechtgezet.
Een recente update voor Microsoft Defender Antivirus leidde ook tot verwarring bij ontwikkelaars, die bij het updaten een waarschuwing kregen dat de Local Security Authority (LSA) Protection was uitgeschakeld.
Microsoft bracht een workaround voor het probleem uit. Een latere update lijkt LSA echter helemaal te hebben uitgeschakeld op Windows 11-systemen ten gunste van een nieuw proces met de titel ‘Kernel-mode Hardware-enforced Stack Protection’.
Lees ook: Microsoft Bing aan te passen door misconfiguratie in Azure Active Directory
1 dag geleden
