Les faux-positifs ont toujours empoisonné la vie des responsables sécurité. Encore plus lorsque ces derniers émanent de solutions totalement légitimes comme cela a été le cas avec les mises à jour d'Edge qui ont été considérées comme tel par une solution de Trend Micro. Spécialisée dans la protection des endpoints, Apex One a en effet détecté les montées de version du navigateur web de Microsoft en tant que malware. Un constat qui s'est répandu comme une trainée de poudre sur la toile par plusieurs centaines d'utilisateurs aussi bien sur les forums de l'éditeur de sécurité que sur reddit. Ces faux positifs affectent les mises à jour de packages stockées dans le dossier d'installation de Microsoft Edge, détectées comme logiciel malveillant par Apex One en tant que TROJ_FRS.VSNTE222 et Virus/Malware: TSC_GENCLEAN.
« Trend Micro a connaissance d'un problème de détection qui a été signalé plus tôt dans la journée concernant un potentiel faux positif avec Microsoft Edge et un modèle Trend Micro Smart Scan. Le modèle a été mis à jour pour supprimer la détection en question et nous menons une enquête sur la cause initial du problème », a expliqué l'éditeur japonais. « Assurez-vous s'il vous plait que le Smart Scan Agent Pattern est de version 17.541.00 ou ultérieure et que le Smart Scan Pattern est de version 21474.139.09 ou ultérieure, ce qui résout le problème ».
Une mesure de contournement possible
Dans le cas où l'application de la mise à jour ne fonctionne pas, l'éditeur de sécurité propose une solution de contournement consistant à exclure l'emplacement du fichier package msedge_200_percent.pak détecté par erreur par Apex One. Cette exclusion porte sur les emplacements suivants :
C:\Program Files (x86)\Microsoft\Edge\Application\101.0.1210.32\* ;
C:\Users\*\AppData\Local\Microsoft\Edge\Application\101.0.1210.32\* ;
C:\Program Files\Microsoft\Edge\Application\101.0.1210.32\* ;
C:\Program Files (x86)\Microsoft\EdgeWebView\Application\101.0.1210.32\* ;
C:\Program Files (x86)\Microsoft\EdgeCore\101.0.1210.32\* ;
C:\Program Files (x86)\Microsoft\Edge\Application\101.0.1210.32\* ;
C:\Program Files (x86)\Microsoft\Edge Beta\Application\101.0.1210.31\*.
Réparer les modifications de registre Windows
Malheureusement, d'autres problèmes ont également pu être soulevés par les utilisateurs : « Il a été signalé que certains clients ont observé des modifications du registre à la suite de la détection en fonction de leurs paramètres de configuration de nettoyage des terminaux », a indiqué Trend Micro. Pour palier cette situation, une procédure a aussi été poussée afin de récupérer les changements effectués sur les registres Windows.
1. Sur la machine affectée, ouvrez une invite de commande avec des droits d'administrateur élevés ;
2. Accédez au dossier \Backup sur la machine affectée exécutant l'agent Apex One (généralement C:\Program Files (x86)\Trend Micro\Security Agent\Backup).
3. Il doit y avoir un fichier nommé, TSE_GENCLEAN_XXXX_XX_XX_XX_XX_XXX_XXX_XXX.DAT dans le dossier et notez ce nom (ex : TSC_GENCLEAN_2022_05_03_17_54_14_118_035.DAT) ;
4. Revenez au dossier Agent (généralement C:\Program Files (x86)\Trend Micro\Security Agent) ;
5. Lancez/exécutez la commande suivante :
a. Systèmes 64 bits : tsc64.exe -restore=.\backup\TSC_GENCLEAN_XXXX_XX_XX_XX_XX_XXX_XXX_XXX.DAT
b. Machines 32 bits : tsc.exe -restore=.\backup\TSC_GENCLEAN_XXXX_XX_XX_XX_XX_XXX_XXX_XXX.DAT
L'éditeur précise que le fichier TSC_GENCLEAN_XXXX_XX_XX_XX_XX_XXX_XXX_XXX.DAT dans la chaîne de commande a et b doit être remplacé par le nom de celui noté à l'étape numéro 3. « Veuillez noter que les administrateurs qui cherchent à utiliser ce script en tant que fichier de commandes ou via une autre méthode doivent d'abord examiner attentivement le script et le tester dans leur environnement avant tout développement à grande échelle », a expliqué l'éditeur. « Les clients qui continuent de rencontrer des problèmes sont invités à contacter leur représentant Trend Micro agréé pour obtenir de l'aide. »