Поделиться
Фирменный антивирус Windows уничтожил пользовательские ярлыки на рабочем столе и в меню «Пуск»
Фирменный антивирус Microsoft, встроенный в операционную систему Windows, усмотрел угрозу в пользовательских ярлыках, размещенных на рабочем столе и в меню «Пуск». Опасность оказалась мнимой, однако устроенная Defender «зачистка» создала массу проблем как пользователям, так и сисадминам. Microsoft устранила проблему, выпутив корректирующее обновление баз Defender, а позднее предложила администраторам бесплатный скрипт Power Shell, который позволяет восстановить утраченные ярлыки.Microsoft Defender вновь шалит
Microsoft Defender по ошибке удалил ярлыки пользователей операционных систем Windows 10 и Windows 11, используемые для быстрого запуска установленных на ПК программ. Антивирус, входящий в состав операционных систем семейства Windows, принял ярлыки на рабочем столе и в стартовом меню за вредоносное ПО, пишет Bleeping Computer.
13 января 2023 г., Microsoft выпустила обновление антивирусных сигнатур для Microsoft Defender for Endpoint версии 1.381.2140.0, которое, в частности, внесло изменение в работу правила механизма ASR (Attack Surface Reduction; «сокращение направлений атак») под названием “Block Win32 API calls from Office macro” (ID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b). Это правило позволяет программе выявлять и пресекать попытки обращения вредоносного ПО к API Win32 при помощи VBA-макросов.
После внесения изменений в соответствующее правило Microsoft Defender начал демонстрировать случаи ложного срабатывания, в результате которых оказались удалены ярлыки пользовательских приложений, размещенных на рабочем столе Windows, в меню «Пуск», а также на панели быстрого доступа – антивирус счел их вредоносными программами.
Коснулось это как ярлыков софта самой компании Microsoft (например, Office), так и приложений сторонних разработчиков (Google Chrome, Mozilla Firefox и др.).
Масштаб проблемы неизвестен
Как отмечает Bleeping Computer, проблемное правило накануне выходных внесло хаос в работу корпоративных пользователей Windows-машин и обслуживающих их системных администраторов. Первые утратили возможность быстрого запуска привычных приложений, вторые были вынуждены искать способ восстановления удаленных вышедшим из-под контроля Microsoft Defender ярлыков.
Оценить реальный масштаб проблемы представляется затруднительным, однако посвященная ей тема на популярной дискуссионной площадке Reddit к моменту публикации данного материала собрала 84 комментария и 195 голосов посетителей в ее поддержку.
Откат некорректного апдейта
Впоследствии Microsoft отключила некорректное правило ASR (апдейт сигнатур 1.381.2164.0) попросила клиентов проверить SI MO497128 в центре администрирования на наличие дополнительных обновлений. В Microsoft подчеркнули, что потребуется несколько часов, чтобы обновленное правило заработало, как это было изначально задумано разработчиками.
Системным администраторам на этот период порекомендовали переключить соответствующее правило в режим аудита, чтобы гарантированно обезопасить себя от негативных последствий применения опасного ASR-правила. Осуществляется это при помощи облачного инструмента Intune, предназначенного для управления конечными точками, правки групповых политик или команды Add-MpPreference в Power Shell.
Скрипт для восстановления ярлыков
В субботу, 14 января 2023 г., Microsoft опубликовала на принадлежащем ей хостинге GitHub скрипт Power Shell, который позволяет восстановить удаленные ярлыки наиболее популярных в представлении специалистов корпорации приложений – всего 42 наименования.
В их числе продукты компании Adobe (Acrobat, Photoshop), ПО, входящее в состав пакета Microsoft Office (Excel, Word, Outlook), браузеры Google Chrome и Mozilla Firefox, медиаплеер VLC, архиватор 7zip и др. В случае необходимости администраторы могут самостоятельно скорректировать перечень программ, ярлыки которых нуждаются в восстановлении.
Ложные срабатывания Defender
Microsoft Defender периодичеки «пугает» пользователей Windows ложными срабатываниями.
Так, в сентябре 2022 г. «Защитник» ополчился на легитимные приложения, построенные с использованием фреймворка Electron. К таковым, в частности, относятся браузер Chrome, клиент музыкального стримингового сервиса Spotify и популярный мессенджер Discord. Причиной ложных срабатываний стала ошибка в обновленных антивирусных базах.
В марте 2022 г. CNews писал о том, что корпоративная версия антивируса начала ошибочно помечать компоненты пакета Office как вредоносное ПО. Microsoft тогда оперативно устранила проблему, которая возникла в результате обновления определений угроз.
Короткая ссылка
