Facepalm: Microsoft Defender debería proporcionar muchas funciones de seguridad para clientes domésticos y empresariales basados en Windows. Sin embargo, algunas de esas características se están volviendo contra los usuarios y hacen que los administradores del sistema se arrepientan de otro viernes 13 desafortunado.
El viernes pasado fue un día bastante desafortunado para los usuarios de Windows y los administradores de sistemas de todo el mundo. Según varios informes, Microsoft Defender para Endpoint se convirtió en un acceso directo y un "asesino" de archivos ese fatídico día, después de que la suite de seguridad comenzara a eliminar los accesos directos de las aplicaciones de la barra de tareas y el menú Inicio de Windows, a veces incluso eliminando los archivos del programa vinculados del disco.
Múltiples administradores de sistemas experimentaron el problema en Windows 10 y Windows 11, y su causa probable pronto se identificó como una regla ASR modificada por una actualización reciente de Defender. Las reglas de reducción de la superficie de ataque (ASR) se enfocan en ciertos comportamientos de software, como ejecutar ejecutables y scripts, ejecutar scripts ofuscados o "realizar comportamientos que las aplicaciones generalmente no inician durante el trabajo diario normal", explica Microsoft .
La regla ASR en cuestión es "Bloquear las llamadas a la API de Win32 desde la macro de Office", descubrieron los administradores de sistemas, y se volvió loca después de que Microsoft lanzó la actualización de la firma 1.381.2140.0 para Defender. En algunos casos , la regla modificada obligó al antimalware del sistema a eliminar los accesos directos y desinstalar la suite de productividad de Office por completo.
.webp)
Además de Office, muchos otros programas se vieron afectados por el acceso directo y la actualización del eliminador de archivos, incluidos Google Chrome, Mozilla Firefox, Slack, Visual Studio, Notepad++, Adobe Acrobat y más. Un boletín posterior de Microsoft confirmó que el problema era, de hecho, la regla ASR actualizada "Bloquear las llamadas a la API de Win32 desde la macro de Office".
Como medida de mitigación, la corporación de Redmond dijo que los administradores del sistema podrían cambiar el comportamiento de ASR al "Modo de auditoría" mediante el uso de Intune o la propia Política de grupo de Windows. La solución definitiva llegó un día después, con una nueva regla ASR incluida en la actualización 1.381.2164.0 para Defender. Sin embargo, los accesos directos y los programas eliminados por el AV se perdieron para siempre, dijo Microsoft, ya que tuvieron que volver a crearse o reinstalarse desde cero.
Una actualización adicional publicada en Microsoft Community Hub ofreció una solución parcial a este último problema, con un script de PowerShell diseñado para recrear los accesos directos eliminados para 33 de los programas más populares afectados por el error (consulte la lista a continuación). No hace falta decir que la secuencia de comandos no alegró a los administradores de sistemas que se vieron obligados a reinstalar programas eliminados o recrear los accesos directos que se implementaron por usuario en una organización de múltiples usuarios.
| Adobe Acrobat | Adobe Photoshop 2023 |
| Adobe Illustrator 2023 | Adobe Creative Cloud |
| Navegación privada de Firefox | Firefox |
| Google Chrome | Borde de Microsoft |
| Bloc de notas++ | Cliente de Parallels |
| Escritorio remoto | TeamViewer |
| Real TS6 | Elgato StreamDeck |
| estudio visual 2022 | código de estudio visual |
| Estudio de Camtasia | grabadora camtasia |
| Jabra directo | Administrador de archivos 7-Zip |
| Acceso | Sobresalir |
| OneDrive | Una nota |
| panorama | PowerPoint |
| Proyecto | Editor |
| Visio | Palabra |
| PowerShell 7 (x64) | Estudio de administración de SQL Server |
| Estudio de datos de Azure |
