Gli utenti di applicazioni tra cui Google Chrome, Discord e Twitch hanno ricevuto avvisi di sicurezza falsi positivi errati dalla piattaforma nota come Microsoft Defender, che è un software di sicurezza. Gli utenti visualizzano un messaggio denominato ‘Behavior:Win32/Hive.ZY’. Secondo Microsoft, questo messaggio è progettato per segnalare file potenzialmente dannosi, che vengono spesso ottenuti tramite mezzi come la posta elettronica.
‘Hive’ è il nome di un’operazione di ransomware-as-a-service (RaaS) implicata come l’autore di un attacco al rivenditore europeo di elettronica di consumo Media Markt nel settembre 2021. Secondo i rapporti, il problema è stato risolto nell’aggiornamento più recente per Microsoft Defender, versione 1.373.1537.0. Dopo il rilascio di un Security Intelligence Update con la designazione KB2267602, gli utenti hanno immediatamente iniziato a segnalare il bug su vari forum di supporto Microsoft.
Oltre Chrome anche Discord e Twitch
Sembrerebbe che i tempi dell’aggiornamento siano stati piuttosto scomodi, poiché Microsoft USA era nel bel mezzo di un lungo weekend di vacanza che celebrava la Festa del Lavoro. Le app interessate hanno tutte una cosa in comune: utilizzano il motore del browser Chromium open source di Google o il framework JavaScript Electron. Electron JavaScript è un framework software open source utilizzato da applicazioni come WhatsApp, Yammer e Visual Studio Code.
Questa non sarebbe la prima volta che il firewall di Microsoft ha effettuato una determinazione errata in merito a Chrome e ha segnalato un falso positivo. Nel lontano passato del 2011, Microsoft Security Essentials e Microsoft Forefront hanno erroneamente identificato un eseguibile di Chrome come il malware ZeuS, progettato per rubare le informazioni di accesso degli utenti dai siti Web di banking online.
Apparentemente agli utenti è stato impedito di utilizzare Chrome per un certo numero di ore a causa del bug. Più di recente, una serie di segnalazioni inviate da amministratori di sistemi Windows hanno indicato che Microsoft Defender for Endpoint è stato contrassegnato come aggiornamenti sospetti del browser generati utilizzando il servizio Google Update.