Microsoft Defender for Endpoint ошибочно классифицирует SQL Server 2017 и 2019 как устаревшие и неподдерживаемые
Корпоративная платформа Microsoft Defender for Endpoint ошибочно помечает актуальные версии Microsoft SQL Server 2017 и 2019 как ПО с завершенным жизненным циклом. Поддержка SQL Server 2019 продлится до января 2030 года, а 2017 — до октября 2027 года. Ошибка вызвана багом в алгоритме проверки жизненного цикла ПО и затрагивает все среды, использующие Defender XDR.
Microsoft Defender for Endpoint, корпоративная платформа безопасности, начиная с 8 октября 2025 года, ошибочно классифицирует установленные экземпляры Microsoft SQL Server 2017 и 2019 как программное обеспечение, поддержка которого прекращена. Это приводит к генерации ложных предупреждений в системе управления угрозами и уязвимостями, включая автоматические уведомления администраторам, рекомендации по обновлению и интеграцию в отчёты о рисках.
На самом деле, поддержка SQL Server 2019 продлится до 9 января 2030 года, а SQL Server 2017 — до 12 октября 2027 года. Обе версии находятся в фазе расширенной поддержки, получают регулярные обновления безопасности и соответствуют требованиям стандартов для корпоративных сред. Defender for Endpoint, однако, определяет их как устаревшие, что создает ложное впечатление о критической уязвимости, не существующей в реальности.
Ошибка вызвана багом в коде, отвечающем за определение жизненного цикла программного обеспечения. По данным Microsoft, проблема возникла в результате изменений, внесённых в алгоритм анализа версий ПО, предназначенный для корректной идентификации продуктов, чья поддержка действительно завершена. Изменения привели к некорректному сопоставлению версий SQL Server с устаревшими метаданными, в результате чего корректные релизы 2017 и 2019 годов были ошибочно отнесены к категории «неподдерживаемое ПО».
Проблема затрагивает все среды, где используется Defender for Endpoint в составе Microsoft Defender XDR, независимо от конфигурации, региона или типа развертывания (локальное, гибридное, облачное). Влияние ограничивается только системами с установленными экземплярами SQL Server 2017 и 2019 — другие версии, включая SQL Server 2022, не затронуты.
Microsoft подтвердила наличие инцидента и заявила, что исправление уже разработано и находится в процессе развертывания. Исправление предусматривает откат изменений в алгоритме проверки жизненного цикла ПО, восстановление корректных метаданных и синхронизацию с официальными сроками поддержки, опубликованными на сайте Microsoft Lifecycle Policy. График полного развертывания будет опубликован по мере готовности.
Ошибка не связана с уязвимостями в SQL Server, не влияет на его функциональность и не открывает дополнительные векторы атак. Однако она создает операционные риски для ИТ-отделов:
— администраторы могут начать ненужное обновление СУБД, что приведёт к простоям и риску несовместимости;
— отчёты о состоянии безопасности становятся недостоверными, что затрудняет приоритизацию реальных угроз;
— аудиты соответствия нормативам (например, ФСТЭК, ISO 27001) могут быть осложнены ложными записями о «неподдерживаемом ПО».
Это — не первый случай ложного срабатывания Defender for Endpoint. В течение последних трёх лет система неоднократно ошибочно классифицировала:
— прошивки BIOS на устройствах Dell как устаревшие, при отсутствии обновлений;
— ярлыки пользовательских приложений на рабочем столе Windows как вредоносные;
— легитимные ссылки в почте (включая домены Google и Zoom) как фишинговые;
— приложения на базе Electron (Chrome, Discord, Spotify) как вредоносные;
— компоненты Microsoft Office как вредоносное ПО.
В каждом случае проблема возникала из-за ошибок в сигнатурах, алгоритмах анализа или обновлении баз данных угроз. В ответ Microsoft выпускала исправления и скрипты для восстановления, но не изменяла фундаментальные механизмы проверки, что делает повторение подобных инцидентов вероятным.
В условиях, когда ИТ-отделы полагаются на автоматизированные системы для управления уязвимостями, ложные срабатывания снижают доверие к инструментам безопасности и увеличивают нагрузку на персонал. Ошибки, подобные этой, не представляют прямой угрозы безопасности, но подрывают эффективность систем управления рисками, которые должны быть надёжными и точными.
Ошибка вызвана багом в коде, отвечающем за определение жизненного цикла программного обеспечения. По данным Microsoft, проблема возникла в результате изменений, внесённых в алгоритм анализа версий ПО, предназначенный для корректной идентификации продуктов, чья поддержка действительно завершена. Изменения привели к некорректному сопоставлению версий SQL Server с устаревшими метаданными, в результате чего корректные релизы 2017 и 2019 годов были ошибочно отнесены к категории «неподдерживаемое ПО».
Проблема затрагивает все среды, где используется Defender for Endpoint в составе Microsoft Defender XDR, независимо от конфигурации, региона или типа развертывания (локальное, гибридное, облачное). Влияние ограничивается только системами с установленными экземплярами SQL Server 2017 и 2019 — другие версии, включая SQL Server 2022, не затронуты.
Microsoft подтвердила наличие инцидента и заявила, что исправление уже разработано и находится в процессе развертывания. Исправление предусматривает откат изменений в алгоритме проверки жизненного цикла ПО, восстановление корректных метаданных и синхронизацию с официальными сроками поддержки, опубликованными на сайте Microsoft Lifecycle Policy. График полного развертывания будет опубликован по мере готовности.
Ошибка не связана с уязвимостями в SQL Server, не влияет на его функциональность и не открывает дополнительные векторы атак. Однако она создает операционные риски для ИТ-отделов:
— администраторы могут начать ненужное обновление СУБД, что приведёт к простоям и риску несовместимости;
— отчёты о состоянии безопасности становятся недостоверными, что затрудняет приоритизацию реальных угроз;
— аудиты соответствия нормативам (например, ФСТЭК, ISO 27001) могут быть осложнены ложными записями о «неподдерживаемом ПО».
Это — не первый случай ложного срабатывания Defender for Endpoint. В течение последних трёх лет система неоднократно ошибочно классифицировала:
— прошивки BIOS на устройствах Dell как устаревшие, при отсутствии обновлений;
— ярлыки пользовательских приложений на рабочем столе Windows как вредоносные;
— легитимные ссылки в почте (включая домены Google и Zoom) как фишинговые;
— приложения на базе Electron (Chrome, Discord, Spotify) как вредоносные;
— компоненты Microsoft Office как вредоносное ПО.
В каждом случае проблема возникала из-за ошибок в сигнатурах, алгоритмах анализа или обновлении баз данных угроз. В ответ Microsoft выпускала исправления и скрипты для восстановления, но не изменяла фундаментальные механизмы проверки, что делает повторение подобных инцидентов вероятным.
В условиях, когда ИТ-отделы полагаются на автоматизированные системы для управления уязвимостями, ложные срабатывания снижают доверие к инструментам безопасности и увеличивают нагрузку на персонал. Ошибки, подобные этой, не представляют прямой угрозы безопасности, но подрывают эффективность систем управления рисками, которые должны быть надёжными и точными.
© 10.10.2025
Закажите обратный звонок
Оставьте свой телефон, мы свяжемся с вами в ближайшее время
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности
Контакты:
info@smartinfra.ru
105118, г. Москва,
ул. Буракова, 27 к3,
3 этаж, офис 322
105118, г. Москва,
ул. Буракова, 27 к3,
3 этаж, офис 322
© 2025