資安防護是電腦安全的基石,但當防毒軟體本身頻頻「烏龍」時,信任危機便悄然降臨。近日,微軟自家的防毒軟體 Defender 又一次「失誤」,竟將最新版的 Tor Browser 判定為木馬程式,引發用戶一陣恐慌。儘管這場鬧劇在兩天後得到了修正,但卻再次暴露了 Defender 在誤判方面的「慣犯」本質,也提醒用戶在面對此類警報時,應保持一份審慎與懷疑。
Tor Browser 無辜受牽連:一場始於誤判的虛驚
Tor Browser 是許多注重網路匿名性和隱私保護用戶的首選工具,它基於 Mozilla Firefox 開發,透過洋蔥路由網路來隱藏用戶的真實 IP 位址,以實現匿名瀏覽。近期,由於重要的 VP8 影片編碼函式庫 libvpx 傳出漏洞(CVE-2023-5217),且已有被濫用的行為,Mozilla 率先釋出了修補漏洞的新版 Firefox 118.0.1 / Firefox ESR 115.3.1,Google 也緊隨其後發布了最新版 Chrome 進行修補。
為了跟進修補 libvpx 漏洞,Tor Browser 也推出了相應的 12.5.6 版本。然而,就在 9 月 30 日,許多 Windows 用戶在下載並安裝了這個最新版的 Tor Browser 後,卻驚訝地發現 Microsoft Defender 彈出警告,指稱其中的 tor.exe 檔案包含木馬程式「Win32/Malgent!MTB」。Defender 不僅告知已將該檔案隔離,不久後更直接將其刪除。
這無疑讓許多 Tor Browser 用戶感到困惑和不安。畢竟,Tor Browser 雖在某些國家因其匿名特性而被視為敏感工具,但其本身並非惡意軟體。這次誤判,直接導致了用戶無法正常使用這款重要的隱私工具。
微軟的遲來回應與手動修正方案
面對大量用戶的反饋和資安社群的質疑,Tor Project 小組終於在 10 月 2 日接獲了微軟方面的回應。微軟證實,經過其內部檢查,被誤判的檔案「並不符合惡意程式或垃圾程式的標準」。這也宣告了這場誤判鬧劇的正式結束。
為了幫助受影響的 Windows 和 Tor Browser 用戶解決問題,微軟也提供了手動更新 Defender 定義檔的方法。用戶可以按照以下步驟操作:
- 以管理員權限開啟指令提示視窗(Command Prompt)。
- 輸入
c:\Program Files\Windows Defender並按下 Enter。 - 接著輸入
MpCmdRun.exe -removedefinitions -dynamicsignatures並按下 Enter。 - 最後輸入
MpCmdRun.exe -SignatureUpdate並按下 Enter。
執行這些指令後,Defender 的定義檔將會更新,並有望解除對 Tor Browser 的誤判。
誤判原因推測:DDoS 防護技術或啟發式偵測惹的禍?
至於造成這次 Defender 誤判的具體原因,微軟並未公開說明,外界也只能進行推測。科技媒體《The Register》認為,這可能與 Tor 專案最新加入的可防止分散式阻斷服務攻擊(DDoS)的 PoW(proof-of-work)技術有關。PoW 技術需要在用戶端執行一些計算工作,以證明其連接的合法性,這種行為模式可能觸發了 Defender 的某種安全機制。
另一個可能性是 Defender 的「通用型啟發式偵測」(generic heuristic detection)技術出錯。啟發式偵測是一種基於行為模式而非已知病毒簽名的偵測方法,它通過分析程式的行為來判斷其是否惡意。儘管這種方法有助於發現未知威脅,但也更容易產生誤判,尤其是當合法程式的某些行為與惡意程式的行為模式相似時。
Defender 的「誤判慣例」:累積的信任危機
無論具體原因為何,可以確定的是,這已經不是 Microsoft Defender 第一次出現誤判了。在過去三年中,這款微軟自家的防毒功能曾多次將廣泛使用的合法軟體或檔案錯誤地標示為惡意程式,受害者包括:
- Chrome 瀏覽器: Google 的旗艦瀏覽器也曾被 Defender 誤判。
- Edge 瀏覽器: 諷刺的是,連微軟自己的 Edge 瀏覽器也未能倖免於難。
- Office 文件檔: 常用於工作和學習的 Office 文件也曾被錯誤隔離。
- Log4j 漏洞掃描工具: 甚至是用於掃描 Log4j 嚴重漏洞的安全工具,也曾被 Defender 誤判。
這些頻繁的誤判事件,無疑削弱了用戶對 Microsoft Defender 的信任。雖然誤報在任何防毒軟體中都可能發生,但當誤報成為一種「慣例」,且涉及如此廣泛和重要的軟體時,微軟需要更嚴肅地審視其防毒引擎的準確性和穩定性,避免其自身的防護工具成為用戶的困擾。
對於用戶來說,這次事件再次提醒我們,即使是系統內建的防毒軟體,也可能存在缺陷。當遇到可疑警報時,除了依賴防毒軟體,還應結合多方資訊進行判斷,例如查閱官方公告、參考資安社群討論,或使用多個防毒工具進行交叉驗證,確保自身網路安全不受誤報的影響。