Dans le contexte: Né en tant que programme antimalware spécifique à Windows, Microsoft Defender est désormais une marque englobant de nombreux services de sécurité pour Windows, le cloud et les applications Office. Ce qui peut être une véritable nuisance, car l’AV a tendance à agir bizarrement de temps en temps.

Microsoft Defender tourne à nouveau sa protection “de sécurité” contre les fonctionnalités légitimes. Cette fois, les administrateurs système ont été inondés d’avertissements de sécurité concernant les liens URL légitimes, qui ont été “incorrectement” signalés comme malveillants par le service Defender.

Utilisateurs et administrateurs s’est plaint que les liens provenant de Zoom ou même des services Google étaient signalés comme une menace potentielle pour la sécurité, ce qui a déclenché un flux d’alertes de sécurité vers le portail Microsoft 365 Admin Center. Le portail lui-même fonctionnait par intermittence, ont déclaré les utilisateurs.

Microsoft fut bientôt obligé de reconnaître le problème, indiquant qu’ils enquêtaient sur l’incident et sur le fait que certaines des alertes “n’affichaient pas le contenu comme prévu”. L’incident, qui est suivi sous le numéro DZ534539, affectait apparemment des centaines de comptes mondial.

2023 03 30 image 2

Après avoir examiné les données de diagnostic telles que la télémétrie du réseau, Microsoft a finalement pu identifier la cause première du problème. L’entreprise plus tard a dit que certains “ajouts récents à la fonctionnalité SafeLinks” ont entraîné les fausses alertes rencontrées par les administrateurs du monde entier. Rétablir ces ajouts était suffisant pour résoudre le problème, a déclaré Microsoft.

La fonctionnalité Safe Links est une protection de sécurité supplémentaire dans Defender pour Office 365, qui est destinée aux clients professionnels qui disposent de Microsoft Defender pour Office 365. SafeLinks fournit une fonctionnalité « d’analyse et de réécriture d’URL » pour les e-mails entrants, recherchant des menaces potentielles en plus de les services anti-spam et anti-malware réguliers inclus dans le service Exchange Online Protection (EOP).

Comme le confirment les avis et comparaisons de tiers, Microsoft Defender est essentiellement une solution de sécurité basée sur le cloud qui ne dispose pas des capacités de détection hors ligne de base que les programmes antivirus tiers fournissent généralement. Mais le cloud empoisonne souvent la capacité de Defender à reconnaître correctement les menaces de sécurité, car le moteur AV est sujet à un problème important de faux positifs.

Quelques mois seulement avant les incidents d’URL de ces dernières heures, Defender a commencé à “tuer” les raccourcis, les icônes et même les fichiers exécutables du menu Démarrer des PC des utilisateurs. Cette fois, le problème était causé par une règle ASR modifiée par une mise à jour récente de l’antivirus.