La regla ASR de Buggy Microsoft Defender elimina los accesos directos de aplicaciones de Windows
4 min read
Microsoft ha corregido un falso positivo provocado por una regla ASR defectuosa de Microsoft Defender que eliminaba los accesos directos de aplicaciones del escritorio, el menú de inicio y la barra de tareas y, en algunos casos, inutilizaba los accesos directos existentes porque no se podían usar para iniciar las aplicaciones vinculadas.
El problema afectó a los accesos directos de aplicaciones en dispositivos integrados después de que se activara por error la regla de reducción de la superficie de ataque (ASR) de Microsoft Defender para Endpoint.
Cuando funciona correctamente, esta regla de ASR (llamada “Bloquear llamadas a la API de Win32 desde la macro de Office” en Configuration Manager e “Importaciones de Win32 desde el código de macro de Office” en Intune) debería evitar que el malware “utilice macros de VBA para llamar a las API de Win32”.
“El malware puede abusar de esta capacidad, por ejemplo, llamando a las API de Win32 para ejecutar un shellcode malicioso sin escribir nada directamente en el disco”, dijo Microsoft. Explique.
“La mayoría de las organizaciones no confían en la capacidad de llamar a las API de Win32 en sus operaciones diarias, incluso si usan macros de otras formas”.
Si bien esto normalmente ayudaría a reducir la superficie de ataque que los actores de amenazas podrían usar para comprometer los dispositivos protegidos por Microsoft Defender Antivirus, una mala firma de Defender (1.381.2140.0) provocó la regla ASR (ID de regla: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b) se comportan mal y se activan contra los accesos directos de las aplicaciones de los usuarios, etiquetándolos falsamente como maliciosos.
Los administradores de Windows informan que la regla ASR elimina los accesos directos que pertenecen tanto a las aplicaciones de Microsoft como a las aplicaciones de terceros.
“Recientemente integramos nuestro dominio con Defender para Endpoint y esta mañana recibimos varios informes de que los accesos directos de sus programas (Chrome, Firefox, Outlook) desaparecieron después de reiniciar su máquina, lo que también me sucedió a mí”, un administrador me ha dicho.
“Estamos teniendo exactamente el mismo problema. Tuve que impulsar una actualización de la política para establecer esta regla en el modo Auditoría en lugar de Bloquear, ya que elimina casi todas las aplicaciones de terceros e incluso las propias como usted también dijo: Slack, Chrome, Perspectiva”, otra confirmado.
Para solucionar el problema, Microsoft deshabilitó la regla ASR infractora y pidió a los clientes que verificaran SI MO497128 en el centro de administración para obtener más actualizaciones.
Identificamos que una regla específica tuvo un impacto. Hemos revertido la regla para evitar un mayor impacto mientras investigamos más a fondo. Para obtener más información, siga SI MO497128 en su centro de administración.
— Estado de Microsoft 365 (@MSFT365Status) 13 de enero de 2023
En la última actualización del centro de administración, Microsoft dijo que la regla ASR cancelada necesitó varias horas para propagarse a todos los clientes afectados y recomendó colocarla en modo Auditoría o deshabilitarla por completo.
“Hemos revertido la regla ASR ofensiva, sin embargo, este cambio se está propagando por todo el entorno y podría demorar varias horas”, dijo Microsoft.
“Recomendamos que tome medidas para colocar la regla ASR infractora en modo de auditoría y evitar un mayor impacto hasta que la actualización haya completado la implementación”.
Puede poner la regla ASR en modo de auditoría utilizando uno de los siguientes métodos:
- Uso de Powershell: Add-MpPreference -AttackSurfaceReductionRules_Ids 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b -AttackSurfaceReductionRules_Actions AuditMode
- Usar Intune
- Uso de la política de grupo
La cuarta opción es configurar la regla en modo deshabilitado usando el siguiente comando de Powershell:
Add-MpPreference -AttackSurfaceReductionRules_Ids 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b -AttackSurfaceReductionRules_Actions Disabled
Hasta que el problema se resuelva por completo y se puedan restaurar todos los accesos directos eliminados, Microsoft ha aconsejado a los clientes que inicien las aplicaciones de Office directamente usando la aplicación de Office o el Iniciador de aplicaciones de Microsoft 365.
Los administradores del sistema crearon scripts de PowerShell [1, 2] que intentan restaurar Microsoft Office y otros accesos directos de aplicaciones al menú Inicio. Sin embargo, estos deben probarse antes de ser utilizados en la producción.
En los últimos dos años, los administradores de Windows han tenido que lidiar con varios otros falsos positivos de Microsoft Defender para Endpoint.
Hace casi un año, una ola de alertas de Defender para Endpoint calificó las actualizaciones de Office como maliciosas en advertencias que apuntaban a comportamiento del ransomware detectado en terminales Windows.
Defender ATP también bloqueó la apertura o el lanzamiento de documentos de Office y algunos ejecutables de Office en noviembre de 2021 debido a otro falso positivo etiquetar archivos para cargas útiles de malware Emotet.
Un mes después, en diciembre de 2021, mostró erróneamente alertas de “manipulación del sensor” vinculado a la Analizador de Microsoft 365 Defender para procesos Log4j.
Se han mostrado problemas similares de falsos positivos de Defender para Endpoint Alertas de dispositivos de red infectados con Cobalt Strike y etiquetado Actualizaciones de Chrome como puertas traseras de PHP.
“Adicto a la televisión total. Experto en viajes. Gurú de Twitter. Evangelista de tocino. Creador galardonado. Aficionado al alcohol. Fanático de la música. Solucionador de problemas”.
