Több rendszerüzemeltető is arról számolt be különböző közösségi média oldalakon (1, 2, 3, 4), hogy a Windows Defender for Endpoint zsarolóvírus fertőzésről szóló téves riasztásokat jelenít meg. A bejelentések ugrásszerű növekedését követően a Microsoft is megerősítette, hogy az Office frissítések egy hiba miatt tévesen zsarolóvírus tevékenységként kerülhetnek megjelölésre.
A téves riasztások „Ransomware behavior detected in the file system” címszóval jelennek meg, amiket az OfficeSvcMgr.exe váltott ki. A Microsoft vizsgálata során azt találta, hogy a zsarolóvírus támadásokat észlelő szolgáltatásukban nemrég telepített frissítések olyan kódhibát eredményeztek, ami a téves riasztások tömeges kiküldését váltotta ki. A Microsoft időközben javította a hibát, és beavatkozást nem igénylő módon, automatikusan eltávolítja a már beérkezett hibás riasztásokat.
Az elmúlt időszakban a Microsoft többször szembesült hasonló problémákkal, tavaly novemberben például a Defender for Endpoint Emotet fertőzöttség gyanúja miatt adott fals-pozitív jelzést Office dokumentumokra, egy hónappal később pedig a Log4j sérülékenység miatt bevezetett szkennerrel adódott probléma.
