.
Os técnicos estão relatando que as regras de redução da superfície de ataque (ASR) do Microsoft Defender para Endpoint ficaram confusas e estão removendo ícones e atalhos de aplicativos da barra de tarefas e do menu Iniciar.
Os problemas foram notados pela primeira vez hoje, sexta-feira 13, por vários funcionários de TI e muitos parecem estar coçando a cabeça quanto à causa. Alguns disseram que estão experimentando isso no Windows 10 e no Windows 11.
“Percebi isso por volta das 8h45 (UTC)”, disse-nos um técnico de uma loja de software independente. “A regra ASR está removendo ícones na barra de tarefas e no menu Iniciar e, em alguns casos, desinstalando o Microsoft Office também.”
ASR é projetado para tornar um PC mais seguro, bloqueando macros etc, mas a limpeza é certamente mais dramática do que o esperado. “Aconteceu, não sabemos o que causou.
“Suspeitamos que foi um KP – um patch de terça-feira – que deu errado, mas falei com muitos outros esta manhã e achamos que está definitivamente relacionado às regras do ASR.”
UMA tópico no Reddit indica que este não é um incidente isolado com outros administradores de sistema intervindo. A pessoa que iniciou a conversa disse:
“Recentemente, integramos nossa propriedade ao Defender for Endpoint e recebemos vários relatórios esta manhã de que seus atalhos de programa (Chrome, Firefox, Outlook desapareceram após uma reinicialização de sua máquina, o que também ocorreu para mim. É parece estar bloqueando a regra: ‘Bloquear chamadas de API do Win32 da macro do Office’.”
Outro disse que estava vendo “exatamente o mesmo problema” e teve que “enviar uma atualização de política para definir esta regra no modo de auditoria em vez de bloquear – já que está destruindo quase todos os aplicativos de terceiros e até os próprios, como você disse – Slack , Chrome, Outlook.”
“O mesmo. Um grande número de máquinas explodidas na última hora. Feliz sexta-feira”, disse outro. Todos os aplicativos da Microsoft, incluindo Excel e Word, também desapareceram, disse mais um administrador de sistema.
Até agora, a Microsoft permaneceu silenciosa publicamente sobre o problema, embora tenha publicado MO497128 na categoria Microsoft 365 Suite e não na categoria Defender, aviso:
Um técnico afirmou que o problema está relacionado com o mais nova assinatura do Defender (1.381.2140.0). Eles disseram que então aparece “todos os atalhos localizados ProgramDataMicrosoftWindowsStart MenuPrograms serão excluídos instantaneamente”.
Excluir regras ASR funcionou para um profissional de TI e outro disse que mudou a regra para Auditoria “e parece funcionar. A dificuldade é que a política do InTune não está sendo aplicada com muita rapidez e também precisamos reparar o Office em algumas máquinas, pois o Outlook.exe está literalmente ausente (não apenas o atalho).”
De acordo, um pôster dizia: “Defina a regra ASR do defensor 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b apenas para auditoria. Funcionamento confirmado, mas diminuirá suas defesas. Grande risco se aplicado em toda a organização, executado pela gerência.”
A frustração então se transformou em raiva. “Como diabos essa atualização passou no teste/QA da Microsoft?? Eles testam antes de enviar atualizações, certo? Pessoal? Direita?”.
E: “Sim, a Microsoft estragou tudo. Alertas falsos de superfície de ataque para a maioria dos atalhos do menu Iniciar.”
Mais um acrescentou: “Defensor realmente é o Dom que continua dando!”
Pedimos à Microsoft para comentar e atualizaremos quando Redmond chegar ao teclado. ®
.
