Arbeidsplasser er avhengige av e-post og chatteplattformer for å fungere normalt. Når sikkerhetssystemer svikter, kan den daglige kommunikasjonen plutselig stoppe. Et omfattende Microsoft anti-phishing-avbrudd blokkerte legitime e-poster og Teams-meldinger etter at deteksjonsregler feilaktig klassifiserte trygge lenker som skadelige.
I stedet for å stoppe angripere hindret beskyttelsen brukere i å få tilgang til vanlige samtaler.
Hva som skjedde
Microsoft bekreftet at Exchange Online og Microsoft Teams begynte å sette gyldige meldinger i karantene etter en feilaktig anti-phishing-oppdatering. Filtreringsmotoren merket normale URL-er som farlige og fjernet eller blokkerte innhold automatisk.
Organisasjoner rapporterte flere problemer:
E-poster havnet i karantene
Lenker ble deaktivert i meldinger
Teams-chatter ble fjernet
Sikkerhetsvarsler ble utløst ved normal aktivitet
Forstyrrelsen påvirket kunder globalt og varte i flere dager før ingeniørene gjenopprettet normal drift.
Grunnårsak
Hendelsen oppstod i heuristisk deteksjonslogikk som skulle identifisere legitimasjons-phishing. En konfigurasjonsfeil økte kraftig antallet falske positiver kort etter utrulling.
Automatiserte beskyttelsesfunksjoner forsterket deretter problemet. Systemer fjernet meldinger via Zero-hour Auto Purge og genererte omfattende sikkerhetsvarsler. Ytterligere feil forsinket tilbakeføringen og forlenget avbruddet.
Påvirkning på organisasjoner
Administratorer mottok varsler om påståtte skadelige klikk selv når ansatte åpnet pålitelige lenker. Mange selskaper mistet midlertidig tilgang til intern kommunikasjon, kundemeldinger og delte ressurser.
Siden Microsoft 365-tjenester er integrert i flere arbeidsprosesser, påvirket filtreringsfeilen samarbeid snarere enn sikkerhet. Virksomheter opplevde driftsforstyrrelser uten noen faktisk cyberhendelse.
Hvorfor slike hendelser skjer
Moderne e-postbeskyttelse baserer seg på automatisert mønstergjenkjenning over enorme datasett. Systemene reagerer raskt på nye trusler, men sprer også feil like raskt.
En liten feil i deteksjonslogikken kan derfor ramme millioner av brukere samtidig. Den samme automatiseringen som stopper phishing, kan også blokkere legitim kommunikasjon.
Microsofts respons
Ingeniører deaktiverte de problematiske reglene og gjenopprettet gradvis meldinger fra karantene. Etter tilbakeføringen fungerte tjenestene normalt igjen og falske varsler opphørte.
Selskapet klassifiserte hendelsen som en driftsincident, ikke et sikkerhetsbrudd, siden ingen data ble kompromittert.
Konklusjon
Sikkerhetsforsvar blir stadig mer automatisert. Det reduserer reaksjonstiden mot trusler, men øker risikoen for omfattende forstyrrelser ved konfigurasjonsfeil. Microsoft anti-phishing-avbruddet viser hvordan beskyttelsessystemer kan stoppe daglig drift mer effektivt enn angripere.
Pålitelighet avhenger nå ikke bare av god deteksjon, men også av nøye utrulling og rask gjenoppretting.
0 svar til “Microsoft anti-phishing-avbrudd blokkerer e-post og Teams”