Microsoft Defender para el proceso Log4J está dando falsos positivos
Microsoft Defender for Endpoint está actualmente dando falsas alertas de detección de vulnerabilidades al bug Log4Shell relacionado con el exploit de Log4j. Las alertas vienen provienen del recién desplegado escáner de Microsoft 365 Defender para procesos Log4j, en vista del reciente descubrimiento del Log4Shell.
Las alertas se muestran principalmente en los sistemas Windows Server 2016 y advierten de la posible manipulación de sensores en la memoria detectada por Microsoft Defender for Endpoint creada por un proceso de OpenHandleCollector.exe. Los administradores de sistemas han estado lidiando con este problema desde al menos el 23 de diciembre, según los informes de los clientes.
Microsoft Defender para Log4j reporta problemas donde nmo los hay
Aunque el comportamiento de este proceso de Defender sea etiquetado como malicioso, se trata de falsos positivos, según ha revelado Tomer Teller de Microsoft. Actualmente, están investigando este problema de Microsoft 365 Defender y trabajando en una solución debería de entregada próximamente a los sistemas afectados.
Tal y como compartió Microsoft el martes, este escáner Log4j recién desplegado se puso en marcha con un nuevo panel consolidado de Log4j del portal Microsoft 365 Defender para la gestión de amenazas y vulnerabilidades. El nuevo tablero está diseñado para ayudar a los clientes a identificar y remediar los archivos, el software y los dispositivos expuestos a ataques que explotan las vulnerabilidades de Log4j que están afectando a servidores en casi 100 países.
Esto no quiere decir que si Windows Defender esté fallando siempre, pues siempre puede haber positivos legítimos. Así pues, recomendamos seguir extremando las precauciones, comprobar conexiones, logs y descargas que se han podido producir dado que Log4Shell se ha extendido tanto por su facilidad de ejecución y que se trata de un bug day-zero, con lo que mucho antes de que se haya conocido ha podido usarse por comunidades de crackers.
Fuente: Bleeping Computer