Especialistas em tecnologia estão relatando que as regras de redução de superfície de ataque (ASR) do Microsoft Defender para Endpoint ficaram confusas e estão removendo ícones de aplicativos e atalhos da barra de tarefas e do menu Iniciar.
Os problemas foram notados pela primeira vez hoje, sexta-feira 13, por várias pessoas de TI e muitos parecem estar coçando a cabeça quanto à causa. Alguns disseram que estão experimentando isso no Windows 10 e no Windows 11.
“Percebi isso por volta das 8h45 (UTC)”, disse um técnico de uma loja de software independente. “A regra ASR remove os ícones da barra de tarefas e do menu Iniciar e, em alguns casos, também desinstala o Microsoft Office.”
ASR é projetado para tornar um PC mais seguro, bloqueando macros etc, mas a limpeza é certamente mais dramática do que o esperado. “Aconteceu, não sabemos o que causou.
“Suspeitamos que era um KB, um patch de terça-feira, que deu errado, mas conversei com muitas pessoas esta manhã e achamos que está definitivamente relacionado às regras do ASR.”
UMA tópico do reddit indica que este não é um incidente isolado com a intervenção de outros administradores de sistema. A pessoa que iniciou a conversa disse:
“Recentemente, trouxemos nossa herança para o Defender for Endpoint e esta manhã recebemos vários relatórios de que seus atalhos de programa (Chrome, Firefox, Outlook) desapareceram depois que você reiniciou sua máquina, o que também aconteceu comigo. Parece estar bloqueando a regra: ‘ Bloquear chamadas de API do Win32 da macro do Office'”.
Outro disse que estava vendo “exatamente o mesmo problema” e teve que “enviar uma atualização de política para definir esta regra no modo de auditoria em vez de bloquear, pois está destruindo quase todos os aplicativos de terceiros e até os próprios, como você disse: Slack, Chrome, Perspectiva.”
“O mesmo. Muitas máquinas bombardeadas na última hora. Boa sexta-feira”, disse outro. Todos os aplicativos da Microsoft, incluindo Excel e Word, também desapareceram, disse outro administrador de sistemas.
Até agora, a Microsoft permaneceu silenciosa publicamente sobre o problema, embora tenha postado MO497128 na categoria Microsoft 365 Suite e não na categoria Defender, aviso:
Um técnico alegou que o problema está relacionado com o A mais recente contratação do zagueiro (1.381.2140.0). Eles disseram que então aparece “todos os atalhos localizados ProgramData\Microsoft\Windows\Start Menu\Programs serão removidos instantaneamente”.
A remoção das regras ASR funcionou para um profissional de TI e outro disse que mudou a regra para Auditoria “e parece funcionar. A dificuldade é que a política do InTune não se aplica de forma particularmente rápida e também precisamos corrigir o Office em algumas máquinas, pois o arquivo Outlook.exe está literalmente ausente (não apenas o atalho).”
Ok, um banner dizia: “Defina a regra ASR do defensor 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b apenas para auditoria. Confirmado que funciona, mas vai diminuir suas defesas. Grande risco se aplicado em toda a organização, executado pela gerência.”
A frustração então se transformou em raiva. “Como diabos essa atualização passou pelo controle de qualidade/teste da Microsoft? Eles testam antes de enviar atualizações, certo? Gentil? Direito?”.
E: “Sim, a Microsoft estragou tudo. Alertas falsos de superfície de ataque para a maioria dos atalhos do menu Iniciar.
Mais um acrescentou: “Defender realmente é o dom que continua dando!”
Pedimos à Microsoft para comentar e atualizaremos quando Redmond chegar ao teclado. ®
