Microsoft устранила ложное срабатывание Microsoft Defender ASR, которое удаляло ярлыки приложений Windows с рабочего стола, из меню «Пуск» и панели задач, а в некоторых случаях делало их нерабочими.
Правило Microsoft Defender for Endpoint Attack Surface (ASR) должно было блокировать использование вредоносными программами макросов VBA для вызова API-интерфейсов Win32. Однако неверная подпись (1.381.2140.0) вызывала правило ASR (идентификатор правила: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b), которое ложно помечало программы как вредоносные. В итоге это правило удаляло как ярлыки приложений Microsoft, так и сторонних приложений. В их числе были Chrome, Firefox и Outlook.
Чтобы решить эту проблему, Microsoft отключила нарушающее правило ASR и попросила клиентов проверить SI MO497128 в центре администрирования на наличие дополнительных обновлений, перевести его в режим аудита или полностью отключить.
Перевести правило ASR в режим аудита можно одним из следующих способов:
Add-MpPreference -AttackSurfaceReductionRules_Ids 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b -AttackSurfaceReductionRules_Actions AuditMode
Microsoft порекомендовала клиентам напрямую запускать приложения Office с помощью приложения или средства запуска Microsoft 365.
Системные администраторы создали сценарии PowerShell, которые пытаются восстановить ярлыки Microsoft Office и других приложений в меню «Пуск». Тем не менее, они должны быть протестированы перед использованием. Microsoft сообщила, что проблема устранена, но ярлыки, удалённые на устройствах клиентов, не будут автоматически восстанавливаться.
Источник новости: www.playground.ru
