Microsoft, uygulama kısayollarını masaüstünden, Başlat menüsünden ve görev çubuğundan silen ve bazı durumlarda, mevcut kısayolları başlatmak için kullanılamadıkları için kullanılamaz hale getiren hatalı bir Microsoft Defender ASR kuralı tarafından tetiklenen yanlış bir pozitif sorunu ele aldı. bağlantılı uygulamalar.
Sorun, Microsoft Defender for Endpoint saldırı yüzeyi azaltma (ASR) kuralının hatalı bir şekilde tetiklenmesinin ardından yerleşik cihazlardaki uygulama kısayollarını etkiledi.
Doğru çalıştığında, bu ASR kuralı (Yapılandırma Yöneticisi’nde “Office makrosundan Win32 API çağrılarını engelle” ve Intune’da “Office makro kodundan Win32 içe aktarmaları” olarak bilinir), kötü amaçlı yazılımın Win32 API’lerini çağırmak için VBA makrolarını kullanmasını engellemelidir.
Microsoft, “Kötü amaçlı yazılım, Win32 API’lerini doğrudan diske herhangi bir şey yazmadan kötü amaçlı kabuk kodu başlatmak için çağırmak gibi bu yeteneği kötüye kullanabilir” diye açıklıyor.
“Çoğu kuruluş, makroları başka şekillerde kullansalar bile, günlük işleyişlerinde Win32 API’lerini çağırma yeteneğine güvenmiyor.”
Normalde bu, aktörlerin Microsoft Defender Antivirus tarafından korunan cihazların güvenliğini aşmak için kullanabilecekleri saldırı yüzey tehdidini azaltmaya yardımcı olsa da, ASR kuralına (Kural Kimliği: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b) neden olan kötü bir Defender imzası (1.381.2140.0) yanlış bir şekilde kötü niyetli olarak etiketleyerek kullanıcıların uygulama kısayollarına karşı yanlış davranmak ve tetiklemek.
Windows yöneticileri, ASR kuralının hem Microsoft uygulamalarına hem de üçüncü taraf uygulamalara ait kısayolları sildiğini bildiriyor.
“Kısa bir süre önce mülkümüzü Endpoint için Defender’a dahil ettik ve bu sabah, makinelerin yeniden başlatılmasının ardından program kısayollarının (Chrome, Firefox, Outlook) kaybolduğuna dair çok sayıda rapor aldık, bu benim için de oldu. çok,” dedi bir yönetici.
“Tam olarak aynı sorunu görüyoruz. Bu kuralı Engelleme yerine Denetim moduna ayarlamak için bir politika güncellemesi yapmak zorunda kaldım – çünkü sizin de söylediğiniz gibi neredeyse tüm 3. taraf uygulamalarını ve hatta birinci taraf uygulamalarını çöpe atıyor – Slack, Chrome, Outlook,” bir başkası onayladı.
Microsoft, sorunu çözmek için rahatsız edici ASR kuralını devre dışı bıraktı ve müşterilerinden daha fazla güncelleme için yönetici merkezinde SI MO497128’i kontrol etmelerini istedi.
Belirli bir kuralın etkiye neden olduğunu belirledik. Daha fazla araştırma yaparken daha fazla etkiyi önlemek için kuralı geri aldık. Daha fazla bilgi için lütfen yönetici merkezinizdeki SI MO497128’i takip edin.
— Microsoft 365 Durumu (@MSFT365Status) 13 Ocak 2023
En son yönetici merkezi güncellemesinde Microsoft, geri alınan ASR kuralının etkilenen tüm müşterilere yayılması için birkaç saat gerektiğini söyledi ve Denetim moduna alınmasını veya tamamen devre dışı bırakılmasını önerdi.
Microsoft, “İhlal eden ASR kuralını geri aldık, ancak bu değişiklik tüm ortama yayılıyor ve tamamlanması birkaç saat sürebilir” dedi.
“Suçlu ASR kuralını Denetim Moduna geçirmek ve güncelleme dağıtımı tamamlanana kadar daha fazla etkiyi önlemek için harekete geçmenizi öneririz.”
Aşağıdaki yöntemlerden birini kullanarak ASR kuralını Denetim Moduna alabilirsiniz:
- Powershell’i Kullanma: Add-MpPreference -AttackSurfaceReductionRules_Ids 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b -AttackSurfaceReductionRules_Actions AuditMode
- Intune’u kullanma
- Grup İlkesini Kullanma
Dördüncü seçenek, aşağıdaki Powershell komutunu kullanarak kuralı devre dışı moda ayarlamaktır:
Add-MpPreference -AttackSurfaceReductionRules_Ids 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b -AttackSurfaceReductionRules_Actions Disabled
Sorun tamamen çözülene ve silinen tüm kısayollar geri yüklenene kadar Microsoft, müşterilere Office uygulamasını veya Microsoft 365 uygulama başlatıcıyı kullanarak Office uygulamalarını doğrudan başlatmalarını tavsiye etti.
Sistem yöneticileri PowerShell betikleri oluşturdu [1, 2] Microsoft Office ve diğer uygulama kısayollarını Başlat Menüsüne geri yüklemeye çalışan. Ancak bunlar üretimde kullanılmadan önce test edilmelidir.
Son iki yılda, Windows yöneticileri birden fazla Microsoft Defender for Endpoint yanlış pozitifiyle uğraşmak zorunda kaldı.
Neredeyse bir yıl önce, bir Uç Nokta için Defender uyarı dalgası, Windows uç noktalarında algılanan fidye yazılımı davranışına işaret eden uyarılarda Office güncellemelerini kötü amaçlı olarak etiketledi.
Defender ATP, dosyaları Emotet kötü amaçlı yazılım yükleri olarak etiketleyen başka bir yanlış pozitif nedeniyle Office belgelerinin ve bazı Office yürütülebilir dosyalarının Kasım 2021’de açılmasını veya başlatılmasını da engelledi.
Bir ay sonra, Aralık 2021’de, yanlışlıkla “sensör kurcalama” uyarıları görüntülendi. Log4j işlemleri için Microsoft 365 Defender tarayıcı.
Benzer Defender for Endpoint yanlış pozitif sorunları, Cobalt Strike bulaşmış ağ cihazlarının uyarılarını göstermiş ve Chrome güncellemelerini PHP arka kapıları olarak etiketlemişti.