باگ در قوانین ضد فیشینگ مایکروسافت تأیید شد

کمیته رکن چهارم – مایکروسافت اعلام کرد اختلال اخیر در Exchange Online که منجر به قرنطینه اشتباه ایمیل‌های سالم و مسدود شدن لینک‌ها شد، ناشی از یک خطای منطقی در قوانین تشخیص ابتکاری (heuristic) سامانه امنیت ایمیل این شرکت بوده است.

به گزارش کمیته رکن چهارم، این رویداد که با شناسه EX1227432 ثبت شده، از ۵ فوریه ۲۰۲۶ آغاز شد و تا ۱۲ فوریه ۲۰۲۶ به‌طور کامل برطرف نشد. در این بازه زمانی، کاربران Exchange Online و Microsoft Teams با مشکل در باز کردن لینک‌های موجود در ایمیل‌ها و پیام‌ها مواجه شدند و برخی پیام‌ها نیز به‌طور کامل قرنطینه شدند.

مدیران سامانه در این مدت هشدارهایی با عنوان «کلیک روی URL بالقوه مخرب شناسایی شد» دریافت کردند؛ هشدارهایی که بعداً مشخص شد مثبت کاذب (False Positive) بوده‌اند.

ریشه اختلال چه بود؟

بر اساس گزارش اولیه پس از حادثه که این هفته منتشر شده، مشکل از یک خطای نرم‌افزاری در سامانه تشخیص طراحی‌شده برای مقابله با کارزارهای جدید فیشینگ سرقت اعتبارنامه ناشی شده است. این سامانه که بر پایه قوانین ابتکاری و تحلیل رفتاری کار می‌کند، پس از یک به‌روزرسانی دچار افزایش ناگهانی نرخ شناسایی شد.

در نتیجه این خطا:

هزاران URL سالم به‌اشتباه به‌عنوان لینک فیشینگ علامت‌گذاری شدند،

ایمیل‌های تازه تحویل‌شده حاوی این لینک‌ها مسدود شدند،

رویدادهای ZAP (Zero-hour Auto Purge) برای حذف خودکار ایمیل‌ها و پیام‌های Teams فعال شد،

و هشدارهای XDR درباره کلیک روی لینک‌های سالم تولید شد.

مایکروسافت اعلام کرد این افزایش غیرعادی در شناسایی‌ها تنها چند ساعت پس از انتشار تغییرات جدید آغاز شده است. همچنین سایر ابزارهای امنیتی در زیرساخت تشخیص این شرکت اثر خطا را تشدید کردند و وجود یک باگ جداگانه در سامانه امضاهای امنیتی، روند بازگردانی قوانین معیوب را به تأخیر انداخت.

دامنه تأثیر

مایکروسافت اعلام کرده هر کاربری که ایمیل یا پیام Teams حاوی URLهای مشخصی دریافت کرده باشد، ممکن است تحت تأثیر قرار گرفته باشد، اما تعداد دقیق کاربران آسیب‌دیده هنوز منتشر نشده است. طبقه‌بندی این رویداد به‌عنوان «Incident» نشان‌دهنده تأثیر محسوس بر کاربران سازمانی است.

این شرکت وعده داده گزارش نهایی و جامع حادثه را ظرف پنج روز کاری پس از رفع کامل مشکل منتشر کند.

سوابق مشابه

این نخستین‌بار نیست که سامانه‌های تشخیص مایکروسافت دچار مثبت کاذب گسترده می‌شوند. در سال‌های گذشته نیز یک باگ در Exchange Online باعث شد مدل یادگیری ماشین برخی ایمیل‌های Gmail را به‌اشتباه اسپم شناسایی کند. همچنین در سپتامبر گذشته اختلالی در سرویس ضداسپم این شرکت موجب شد لینک‌های موجود در Exchange Online و Teams باز نشوند.

هم‌زمان، مایکروسافت در حال رسیدگی به یک باگ دیگر است که از اواخر ژانویه ۲۰۲۶ باعث شده بود Microsoft 365 Copilot Chat برخی ایمیل‌های محرمانه را خلاصه‌سازی کند.

جمع‌بندی

این حادثه بار دیگر نشان می‌دهد سامانه‌های تشخیص مبتنی بر قوانین ابتکاری و یادگیری ماشین، در صورت وجود خطا در منطق یا پیکربندی، می‌توانند اختلال گسترده‌ای در خدمات حیاتی سازمانی ایجاد کنند؛ حتی زمانی که با هدف تقویت امنیت و مقابله با تهدیدات فیشینگ طراحی شده‌اند.