Microsoft, uygulama kısayollarını masaüstünden, başlangıç menüsünden ve görev çubuğundan silerek ve bazı durumlarda, mevcut kısayolları artık bağlantılı uygulamaları başlatmayacakları için kullanılamaz hale getiren bir Buggy Microsoft Defender ASR kuralı tarafından tetiklenen yanlış bir pozitif pozitifi ele aldı.
Sorun, Microsoft Defender'ı Endpoint Saldırı Yüzeyi Azaltma (ASR) kuralı için hatalı bir şekilde tetiklendikten sonra yönetilen cihazlarda uygulama kısayollarını etkiledi.
Doğru çalışırken, bu ASR kuralı (Configuration Manager'da "Office Macro'dan Block Win32 API çağrıları" ve "Office Macro Kodundan Win32 İthalatı" olarak bilinir), kötü amaçlı yazılımın Win32 API'lerini çağırmak için VBA makrolarını kullanmasını engellemelidir.
Microsoft, "Kötü amaçlı yazılım, Win32 API'lerini doğrudan diske yazmadan kötü amaçlı kabuk kodu başlatmak için çağırmak gibi bu özelliği kötüye kullanabilir."
"Çoğu kuruluş, makroları başka şekillerde kullansa bile, günlük işleyişlerinde Win32 API'lerini çağırma yeteneğine güvenmiyor."
Normalde bu, aktörlerin Microsoft Defender Antivirus tarafından korunan cihazları tehlikeye atmak için kullanabileceği saldırı yüzeyi tehdidi azaltmasına yardımcı olurken, kötü bir defans imzası (1.381.2140.0) ASR kuralına neden oldu (Kural Kimliği: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDDC7B) Kullanıcıların uygulama kısayollarına karşı yanlış davranmak ve tetiklemek, yanlış bir şekilde kötü niyetli olarak etiketlemek.
Windows yöneticileri, ASR kuralının hem Microsoft uygulamalarına hem de üçüncü taraf uygulamalarına ait kısayolları sildiğini bildiriyor.
"Son zamanlarda mülkümüzü son nokta için savunmacı için karaya koyduk ve bu sabah program kısayollarının (Chrome, Firefox, Outlook) makinelerinin yeniden başlatılmasının ardından ortadan kaybolduğuna dair bir dizi raporumuz vardı. Çok, "dedi bir yönetici.
"Tam olarak aynı sorunu görüyoruz. Bu kuralı blok yerine denetim moduna ayarlamak için bir politika güncellemesi yapmak zorunda kaldım - neredeyse tüm 3. taraf uygulamalarını ve hatta ilk tarafları da söylediğiniz gibi çöpe atıyor - Slack, Chrome, Outlook, "diğeri doğruladı.
Sorunu ele almak için Microsoft, suçlu ASR kuralını devre dışı bıraktı ve müşterilerden daha fazla güncelleme için Yönetici Merkezi'ndeki SI MO497128'i kontrol etmelerini istedi.
Belirli bir kuralın etki ile sonuçlandığını belirledik. Daha fazla araştırırken daha fazla etkiyi önlemek için kuralı geri döndürdük. Daha fazla bilgi için lütfen yönetici merkezinizde SI MO497128'i takip edin.
En son yönetici merkezi güncellemesinde Microsoft, geri döndürülmüş ASR kuralının etkilenen tüm müşterilere yayılmak için birkaç saate ihtiyacı olduğunu ve denetim moduna yerleştirmeyi veya tamamen devre dışı bırakmayı tavsiye ettiğini söyledi.
Microsoft, "Suçlu ASR kuralını geri döndürdük, ancak bu değişiklik çevre boyunca yayılıyor ve tamamlanması birkaç saat sürebilir." Dedi.
Diyerek şöyle devam etti: "Suçlu ASR kuralını denetim moduna getirmek ve güncelleme dağıtımı tamamlayana kadar daha fazla etkiyi önlemek için harekete geçmenizi öneririz."
Aşağıdaki yöntemlerden birini kullanarak ASR kuralını denetleme moduna koyabilirsiniz:
Dördüncü seçenek, aşağıdaki PowerShell komutunu kullanarak kuralı devre dışı mod olarak ayarlamaktır:
Add-mppreference -tacksurfacereductionrules_ids 92E97fa1-2EDF-4476-BDD6-9DD0B4DDDC7B -Atacksurfacereductiules_actional
Sorun tamamen düzeltilinceye ve tüm silinen kısayollar geri yüklenene kadar, Microsoft müşterilere Office uygulamasını veya Microsoft 365 Uygulama başlatıcısını kullanarak doğrudan Office uygulamalarını başlatmalarını tavsiye etti.
Sistem yöneticileri, Microsoft Office ve diğer uygulama kısayollarını başlangıç menüsüne geri yüklemeye çalışan PowerShell komut dosyaları [1, 2] oluşturdu. Ancak, bunlar üretimde kullanılmadan önce test edilmelidir.
Bir Microsoft sözcüsü, bugün daha önce BleepingComputer tarafından temasa geçtiğinde hemen yorum yapmak için mevcut değildi.
İade kuralını içeren değişikliğin konuşlandırılmasını hızlandırmak için seçenekleri inceliyoruz. Halen rahatsız edici ASR kuralını denetim moduna getirmek için harekete geçmenizi öneririz. Daha fazla ayrıntı ve talimat için lütfen SI MO497128'i takip edin.
Son iki yıl boyunca, Windows Admins, uç nokta yanlış pozitifleri için diğer birçok Microsoft Defender ile uğraşmak zorunda kaldı.
Neredeyse bir yıl önce, uç nokta uyarıları için bir savunmacı dalgası, ofis güncellemelerini Windows uç noktalarında tespit edilen fidye yazılımı davranışına işaret eden uyarılarda kötü niyetli olarak etiketledi.
Defender ATP ayrıca, Emotet kötü amaçlı yazılım yükleri dosyalarını etiketleyen başka bir yanlış pozitif etiketleme nedeniyle Kasım 2021'de açılmasını veya başlatılmasını engelledi.
Bir ay sonra, Aralık 2021'de, Log4J işlemleri için Microsoft 365 Defender tarayıcısına bağlı olarak yanlışlıkla "sensör kurcalama" uyarılarını görüntüledi.
Son nokta yanlış pozitif sorunlar için benzer savunmacı, kobalt grevine bulaşmış ağ cihazlarının uyarılarını ve Chrome güncellemelerini PHP backdoors olarak etiketlemişti.
GÜNCELLEME 13 Ocak 18:15 EST: Microsoft sorunun düzeltildiğini söylüyor. Ancak şirket, müşterilerin cihazlarına silinen kısayolların otomatik olarak geri yüklenmeyeceğini de sözlerine ekledi.
"Bu sorun Güvenlik İstihbarat Güncellemesi Derlemesi 1.381.2164.0'da çözüldü. Güvenlik İstihbarat Güncellemesi Oluşturma 1.381.2164.0 veya daha sonra yükleme sorunu önlemelidir, ancak daha önce silinmiş kısayolları geri yüklemeyecektir. Bu kısayolları diğer yöntemlerle yeniden oluşturmanız veya geri yüklemeniz gerekecektir. , "Dedi Microsoft.
Microsoft Defender, tüm kurumsal kullanıcılar için varsayılan korumayı artırır
Kaynak: Bleeping Computer