Microsoft устранила ошибку Microsoft Defender, из-за которой удалялись ярлыки приложений с рабочего стола15.01.2023 14:16

Microsoft устранила ложное срабатывание Microsoft Defender ASR, которое удаляло ярлыки приложений Windows с рабочего стола, из меню «Пуск» и панели задач, а в некоторых случаях делало их нерабочими.

2886833f28cc327b6d5e49ca17155bee.jpg

Правило Microsoft Defender for Endpoint Attack Surface (ASR) должно было блокировать использование вредоносными программами макросов VBA для вызова API-интерфейсов Win32. Однако неверная подпись (1.381.2140.0) вызывала правило ASR (идентификатор правила: 92e97fa1–2edf-4476-bdd6–9dd0b4dddc7b), которое ложно помечало программы как вредоносные. В итоге это правило удаляло как ярлыки приложений Microsoft, так и сторонних приложений. В их числе были Chrome, Firefox и Outlook.

Чтобы решить эту проблему, Microsoft отключила нарушающее правило ASR и попросила клиентов проверить SI MO497128 в центре администрирования на наличие дополнительных обновлений, перевести его в режим аудита или полностью отключить. 

Перевести правило ASR в режим аудита можно одним из следующих способов: 

Add-MpPreference -AttackSurfaceReductionRules_Ids 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b -AttackSurfaceReductionRules_Actions AuditMode

  • с помощью Intune,

  • с использованием групповой политики,

  • установив правило в отключённый режим с помощью следующей команды Powershell: 

Add-MpPreference -AttackSurfaceReductionRules_Ids 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b -AttackSurfaceReductionRules_Actions Disabled

Microsoft порекомендовала клиентам напрямую запускать приложения Office с помощью приложения или средства запуска Microsoft 365.

Системные администраторы создали сценарии PowerShell [1, 2], которые пытаются восстановить ярлыки Microsoft Office и других приложений в меню «Пуск». Тем не менее, они должны быть протестированы перед использованием. Microsoft сообщила, что проблема устранена, но ярлыки, удалённые на устройствах клиентов, не будут автоматически восстанавливаться.

В марте 2022 года Microsoft Defender начал ложно предупреждать корпоративных клиентов о наличии зловреда в официальном обновлении MS Office.

В конце 2021 года системные администраторы столкнулись с ложноположительными срабатываниями корпоративной версии Microsoft Defender, которая массово блокировала пользовательские файлы с пояснением, что обнаружена активность, связанная со зловредом Win32/PowEmotet.SB или Win32/PowEmotet.

© Habrahabr.ru