Microsoft soluciona un fallo en Defender for Endpoint

Microsoft ha confirmado que está trabajando activamente para resolver un problema conocido en Defender for Endpoint, su plataforma de seguridad empresarial, que provocó que versiones completamente compatibles de SQL Server 2017 y 2019 fueran etiquetadas como software fuera de soporte (End of Life, EOL).

El error, que salió a la luz a través de una alerta de servicio obtenida por BleepingComputer, comenzó a afectar a clientes de Microsoft Defender XDR (Extended Detection and Response) desde la mañana del miércoles. En los paneles de administración, los equipos de seguridad comenzaron a recibir advertencias erróneas sobre el estado de sus instalaciones de SQL Server, lo que generó confusión en múltiples entornos corporativos.

Error en Microsoft Defender: SQL Server 2017 y 2019 marcados como obsoletos

De acuerdo con la información publicada, Microsoft Defender for Endpoint clasificó por error las versiones de SQL Server 2017 y SQL Server 2019 como software que había llegado al fin de su vida útil, a pesar de que ambas continúan recibiendo soporte oficial.

En realidad, SQL Server 2019 cuenta con soporte extendido hasta enero de 2030, mientras que SQL Server 2017 mantendrá soporte hasta octubre de 2027, es decir, dentro de más de dos años.

La clasificación errónea llevó a que varios administradores de TI y responsables de ciberseguridad creyeran que sus entornos estaban desactualizados o en riesgo de seguridad, generando potenciales interrupciones en la gestión y evaluación de vulnerabilidades.

Microsoft identifica la causa: un cambio reciente en el código

Según la propia compañía, el origen del fallo radica en un cambio reciente introducido en el código del sistema de clasificación de fin de soporte. Este ajuste provocó que los mecanismos internos de Defender identificaran incorrectamente los binarios de SQL Server, asignándoles etiquetas de software no compatible.

Microsoft reconoció el incidente en un comunicado oficial emitido el jueves por la mañana, unas 24 horas después de confirmarse el problema. En sus palabras:

Citar"Los usuarios con SQL Server 2019 y 2017 instalados pueden ver un etiquetado inexacto dentro de la administración de amenazas y vulnerabilidades. Continuamos implementando una solución diseñada para revertir el cambio ofensivo que introdujo el problema del código."

La empresa indicó además que ya ha comenzado el despliegue de una solución progresiva que revertirá la alteración errónea, aunque todavía no ha proporcionado un cronograma definitivo de finalización.

Alcance e impacto del problema

Aunque Microsoft mencionó que el fallo podría afectar a todos los clientes con SQL Server 2017 o 2019, no ofreció cifras específicas sobre el número de organizaciones o dispositivos impactados.

El incidente fue catalogado internamente como un "aviso" (advisory), una designación que la compañía suele usar cuando un problema tiene un alcance limitado o impacto controlado, a diferencia de las alertas críticas que implican interrupciones de servicio generalizadas.

Aun así, el evento evidencia la importancia de una comunicación clara y una gestión proactiva de incidentes dentro de las plataformas de seguridad empresarial, especialmente en entornos donde las etiquetas de "fin de soporte" pueden generar decisiones inmediatas de actualización o reemplazo de software crítico.

Antecedentes recientes: otros errores en Microsoft Defender

El fallo relacionado con SQL Server no es un caso aislado. Durante las últimas semanas, Microsoft Defender for Endpoint ha experimentado varios incidentes menores que afectaron a distintos entornos y plataformas.

La semana anterior, Microsoft resolvió un error similar que hacía que Defender marcara firmware de BIOS en dispositivos Dell como obsoleto, lo que llevó a que numerosos usuarios intentaran actualizar un firmware que ya estaba al día.

Asimismo, los ingenieros de Redmond corrigieron recientemente bloqueos de pantalla negra en macOS posteriores al 29 de septiembre. Este problema estaba asociado a un punto muerto (deadlock) en el marco de seguridad empresarial de Apple, que se manifestaba cuando múltiples soluciones de seguridad intentaban procesar los mismos eventos simultáneamente.

En otro caso, a comienzos de septiembre, Microsoft tuvo que mitigar un falso positivo en su sistema antispam que estaba bloqueando correos electrónicos legítimos y restringiendo el acceso a URL en Exchange Online y Microsoft Teams.

Medidas preventivas y lecciones aprendidas

Este tipo de fallos ponen en evidencia la complejidad de los sistemas de seguridad integrados y la necesidad de mantener una supervisión constante en los procesos de actualización automatizados. Aunque los cambios de código en plataformas como Defender son esenciales para mejorar la detección de amenazas, también pueden introducir errores no previstos que afecten a la continuidad operativa.

Microsoft, por su parte, ha reiterado su compromiso de mejorar la validación interna y la monitorización post-implementación para reducir el riesgo de este tipo de incidentes en el futuro.

Para las organizaciones que dependen de Microsoft Defender XDR, se recomienda:

• Verificar el estado real de soporte de los productos afectados directamente en el Ciclo de vida de productos de Microsoft.
• Evitar tomar acciones drásticas basadas únicamente en alertas de "fin de soporte" hasta confirmar su autenticidad.
• Monitorear los comunicados oficiales de Microsoft 365 y Defender para obtener actualizaciones en tiempo real sobre correcciones y parches.

En fin...

El incidente de etiquetado incorrecto en Microsoft Defender refuerza una realidad del panorama actual de la ciberseguridad: la automatización es poderosa, pero no infalible. A pesar del alcance limitado, la confusión generada entre administradores demuestra que incluso los sistemas de seguridad más avanzados pueden verse afectados por simples cambios de código.

Con la corrección ya en curso, Microsoft reafirma su compromiso con la fiabilidad de Defender for Endpoint, asegurando que los entornos empresariales basados en SQL Server continúen operando con precisión y confianza hasta el final de su ciclo de soporte oficial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login