[English]Am gestrigen Freitag, den 13. Januar 2023, hat Microsoft Teile seiner Windows-Nutzerschaft ziemlich ausgeknockt, indem eine fehlerhafte Defender Signatur per Update ausgerollt wurde. Bei aktiviertem ASR wurden Verknüpfungen unter Windows als schädlich erkannt und vom Desktop, aus dem Startmenü oder aus der Taskleiste von Windows gelöscht. Nun hat Microsoft das Problem bestätigt und nochmals aufbereitet.
Anzeige
Rückblick: ASR läuft Amok
Ich hatte es ja gestern zeitnah, quasi am "lebenden Herzen" und als Work in Progress im Blog-Beitrag Microsoft ASR/Defender-Update löscht Desktop-Shortcuts, Taskleiste kaputt, Office-Apps starten nicht mehr aufgegriffen. Erst stellten Nutzer fest, dass plötzliche Verknüpfungen vom Windows Desktop, aus dem Startmenü oder aus der Taskleiste gelöscht wurden. Weitere Nutzer berichteten, dass sich Office-Anwendungen nicht mehr starten ließen.
Bereits beim Schreiben des Beitrags deutete es sich an, dass die Funktion ASR (Attac Surface Restriction) des Windows Defender for Endpoit, bzw. das Signatur-Update 1.381.2140.0, für dieses Verhalten verantwortlich sei. Diese führte dazu, dass die ASR-Regel "Win32-API-Aufrufe aus Office-Makros blockieren" im Configuration Manager bzw. "Win32-Importe aus Office-Makrocode" die Verknüpfungen löschte und Anwendungen am Start hinderte. In obigem Beitrag gab es Hinweise auf Workarounds.
Microsoft bestätigt Problem
Eben bin ich auf Twitter darauf gestoßen, dass Microsoft den gestrigen Vorfall nun im Windows Health-Dashboard im Beitrag Application shortcuts might not work from the Start menu or other locations bestätigt und nochmals aufbereitet hat.
Anzeige
Microsoft schreibt, dass nach der Installation des Security Intelligence-Updates Build 1.381.2140.0 für den Microsoft Defender möglicherweise Verknüpfungen zu Anwendungen im Startmenü, in der Taskleiste und auf dem Desktop von Windows fehlen oder gelöscht wurden. Außerdem können Fehler beim Start ausführbarer Dateien (.exe) auftreten, wenn diese von Verknüpfungsdateien abhängig sind.
Microsoft bestätigt die gestrige Vermutung, dass auf den betroffenen Geräten die ASR-Regel "Win32-API-Aufrufe von Office-Makros blockieren" ("Block Win32 API calls from Office macro") aktiviert ist.
Attack Surface Reduction (ASR) ist ein Feature von Windows zur Verringerung der Angriffsfläche, indem Regeln zur Überwachung eingeführt werden. In diesem Blog-Post ist der Ansatz der Verwendung der ASR-Regeln ganz gut erklärt. Wolfgang Sommergut hat sich in diesem Artikel ebenfalls mit dem Thema ASR und dessen Aktivierung befasst.
Von Microsoft gibt es diesen Support-Beitrag zu den ASR-Regeln. Dort schreibt man, dass diese ASR-Regeln für den Microsoft Defender Antivirus, den Microsoft 365 Defender und für Microsoft Defender für Endpunkt Plan 2 gelten.
Das ausgerollte Defender Signatur-Update führte nach der Installation der Build 1.381.2140.0 zur Löschung bestimmter Windows-Verknüpfungsdateien (.lnk), die einem falschen Erkennungsmuster entsprachen. Betroffen waren von diesem Malheur die folgenden Windows 10/11 Clients:
- Windows 11 21H2 und 22H2;
- Windows 10 20H2 bis 22H2
- Windows 10 Enterprise LTSC 2019
- Windows 10 Enterprise LTSC 2016
- Windows 10 Enterprise 2015 LTSB
Microsoft meint zwar, dass Windows-Geräte, die von Privatanwendern zu Hause oder in kleinen Büros verwendet werden, wahrscheinlich nicht von diesem Problem betroffen seien. Mir liegen aber vereinzelte Meldungen vor, dass private Rechner ebenfalls betroffen waren (möglicherweise, sofern ASR unter Windows 10/11 über die PowerShell oder Gruppenrichtlinien aktiviert war).
Sobald Microsoft über das Problem informiert wurde, und die Ursache bekannt war, gab es den Tipp, die ASR-Rules im Microsoft Defender in den Überprüfungsmodus (Audit-Modus) zu versetzen (hatte ich im Artikel vorgeschlagen). Dann löscht der Defender die Verknüpfungen nicht mehr über die ASR-Regeln. Zum Umstellen ließen sich PowerShell, Intune oder Gruppenrichtlinien verwenden.
Später rollte man das Security Intelligence Update Build 1.381.2164.0 für den Defender aus. Die Installation des Security Intelligence-Updates Build 1.381.2164.0 oder höher sollte das Problem verhindern, stellt jedoch zuvor gelöschte Verknüpfungen nicht wieder her.
Verknüpfungen zurückholen
Microsoft meint dazu lapidar: Sie müssen diese Verknüpfungen mit anderen Methoden neu erstellen oder wiederherstellen. Im Beitrag Microsoft ASR/Defender-Update löscht Desktop-Shortcuts, Taskleiste kaputt, Office-Apps starten nicht mehr hatte ich einige Ansätze skizziert, wie die Verknüpfungen ggf. wiederhergestellt werden können. Zudem meldete sich ein Nutzer, der darauf hinwies, dass die Verknüpfungen mittels Know Folder mit OneDrive synchronisiert wurden und ggf. dort im Papierkorb zu finden seien.
Microsoft-Mitarbeiter Scott Woodgate hat zudem in der Techcommunity den Blog-Post Recovering from Attack Surface Reduction rule shortcut deletions veröffentlicht. Dort verlinkt er ein Script, welches Lnk-Dateien recovern können soll. Und es gibt Anleitungen, wie man Anwendungen reparieren können soll. Ob es hilft, weiß ich nicht.
Ähnliche Artikel:
Microsoft ASR/Defender-Update löscht Desktop-Shortcuts, Taskleiste kaputt, Office-Apps starten nicht mehr
Windows löscht Verknüpfungen; Microsoft erklärt Windows Defender ASR-Problem vom 13. Jan. 2023
ASRmageddon: Warum Privatnutzer betroffen waren, wie man Shortcuts restauriert
Anzeige
Eigentlich ist es eine Schweinerei sondergleichen das Anti-Malware Lösungen im allgemeinem überhaupt sich erdreisten irgendwas zu löschen, Virus oder nicht, löschen von Daten sollte alleinig dem Benutzer überlassen werden.
Mit dem üblicherweise verwendetem MiniFilter Treiber können die Anti-Malware Lösungen doch wunderbar den zugriff auf verdächtige Dateien verhindern, es gibt also aus Sicherheitssicht absolut keinen Grund irgendetwas proaktiv zu löschen.
Das ist einfach eine furchtbare Unart!
Was auch noch akzeptabel wäre, wenn verdächtige Daten in Quarantäne landen würden.
So könnte man im Fall der Fälle, diese ganz einfach wieder herstellen!
Auch bestünde die Möglichkeit, diese Daten extern überprüfen zu lassen
z.B. hier => https://www.virustotal.com/gui/home/upload
hier => https://virusscan.jotti.org/de-DE/scan-file
oder
hier => https://online.drweb.com/result2/
Nein kantenreine in sinne das die Datei angefasst/verschoben, etc wird ist auch inakzeptabel.
Was akzeptabel wäre wäre wenn man es über die ACLs umsetzt sprich die Datei bleibt unangetastet wo sie ist, aber alles außer einem Benutzer des antimalware tools verliert alle zugrifsrechte.
Den man kan diese dan auch ohne das tool immer über übernahme vom Eigentum manuell mit boardmitteln wieder herstellen.
Virus total nutzt Dir in diesem Fall nicht so wirklich was.
MS hält ja geheim, warum sie die Angriffsfläche verkleinern müssen und dazu alle lnk löschen müssen.
In den Lnk passiert eigentlich (offiziell) nicht viel, aber vielleicht doch? Wer weiß?
Natürlich ist vorstellbar, das ein Böser einen Lnk auf den Desktop kopiert. Der User freut sich dann, das die IT ijm diese nette Abkürzung eingerichtet hat.
Nur:
Das ist ja gedacht wie ein Script Kiddie.
Denn wenn wer mir Sachen auf den Desktop kopieren kann, habe ich doch wohl ein anderes, größeres Problem.
Nicht umsonst werden Virenscanner als Schlangenöl abgetan. Sie geben dem Admin einen schuldigen.
(Bei einem Audit mußte ich feststellen, das die Signaturen seit Jahren nicht mehr korrekt abgelegt wurden.
Dem Admin war das nicht auf gefallen, aber ich bekomme da keinen Auftrag mehr…)
Nein. Nicht akzeptabel. Viren müssen sofort vernichtet werden. Hintertüren zu lassen wäre ein Sicherheitsrisiko!
Wenn ich das mal nicht als Troll-Kommentar werte: Deine Forderung ist Unsinn, da alle mir bekannten Sicherheitslösungen false positive produzieren. Was in Quarantäne geschoben wurde, ist für den normalen Nutzer nicht mehr verwendbar. Wenn ein Admin dann bösartiges freigibt, liegt der Fehler beim Admin.
Als wenn es Microsoft stören würde wohin deine Daten verschwinden. Unverschämt ist da so einiges was die sich erlauben. Aber es stellt sich immer mehr raus mit Microsoft ist man nicht mehr Herr oder Herrin über den eigenen PC.
Also MSFT sind nicht die einzigen die es so machen, die meisten modernen Antimalware tools machen es so, Schweinerei!
Hier von MS ein Script das einen Teil der gelöschten … wiederherzustellen kann
https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/recovering-from-attack-surface-reduction-rule-shortcut-deletions/ba-p/3716011?fbclid=IwAR11IouTW-w5vil6td_GSJ8lFiTiWQO4JaxBV–E7geDNzzR195_B6x-Wv4
Könnte der Microsoft Defender versehentlich tausende E-Mails löschen?
Beispiel: Man verwendet den E-Mail-Client Thunderbird bzw. Microsoft Outlook. 10.000 E-Mails befinden sich in einer Datei. In einem E-Mail "erkennt" MS Defender eine vermeintliche Malware.
Könnte sein, dass in diesem Fall 10.000 E-Mails gelöscht werden?
Genau das ist früher durchaus vorgekommen. Nicht ausschließlich mit MS Defender, sondern mit x-beliebigen Virenschutzprogrammen.
Es wurde allerdings recht rasch (bevor solche Datenbank-Dateien zigtausende Mails ansammeln konnten) schmerzlich bemerkt und lautstark reklamiert. Die Anbieter der Software mussten schleunigst dafür sorgen, dass solche Dateitypen bloß zu bereinigen sind, aber nicht einfach pauschal vernichtet werden dürfen. Das sollte inzwischen Standard sein.
Wenn nun aber eine neue Mailanwendung mit einem proprietären Dateiformat daherkäme und den Virenschutz-Anbietern vorab nichts davon mitteilte, könnte genau das wieder passieren.
Das ist möglich. Neben den Desktop Links sind auch andere Dateien gelöscht worden, wie z.B. XML Dateien. Das Microsoft immer nur von Desktop Links spricht ist schon peinlich, im Defender Advanced Hunting kann man deutlich erkennen das Defender Freitag morgen deutlich mehr wegen "Win32-API-Aufrufe von Office-Makros blockieren" abgeschossen hat als nur "Links".
Die Lösung von MS ist echt mies – rollt man das SCript via Intune aus läuft es nicht ordentlich (32/64Bit Problematik), dazu sind die Rechte darin Hard Coded und auf einem deutschen Windows nicht zu gebrauchen.
Was ebenfalls fehlt – hatte der Benutzer die Apps aus dem Startmenu an die Taskleiste gepinnt bleibt der ein weißes Kästchen – das konnten wir via Script ebenfalls noch nit lösen.
Hat jemand schon eine andere Lösung gefunden?
Das Problem ist so alt wie die Apps. Suche dir ein Script das Apps an die Taskleiste pinnen kann. Es geht nur mit Tastaturshortcuts, da es nur über das Kontextmenü der App geht und das widerum kann nicht per API angesprochen werden, sondern muss "geklickt" werden. Zudem ist es auch noch lokalisiert, sodass es bei mehrsprachigkeit mehrere Ziele gibt.
(möglicherweise, sofern ASR unter Windows 10/11 über die PowerShell oder Gruppenrichtlinien aktiviert war).
Tatsächlich hat sich bei unseren Untersuchungen herausgestellt, dass Privatanwender betroffen waren, die Defender UI eingesetzt hatten.
Der Fehler wurde recht frühzeitig von einem User im Windows 10 Forum gemeldet.
Wir konnten das Problem zuerst auch nicht eingrenzen, bis von weiteren Usern die Aussage kam, dass Defender UI im Einsatz war.
Daraufhin habe ich die Software auf einem Testrechner installiert und gesehen, dass auch ohne eigene Änderungen die ASR Rules aktiviert wurden. Schon die Einstellung "warn" reicht aus, um die inzwischen bekannten Auswirkungen zu beobachten.
Per Powershell mit dem Befehl
Get-MpPreference | select AttackSurfaceReductionRules_Ids, AttackSurfaceReductionRules_Actions
kann man sich das ansehen und mit
Remove-MpPreference -AttackSurfaceReductionRules_Ids gezielt löschen.
Auch das Zurücksetzen per Defender UI auf "Werkseinstellung" löschte die gesetzten ASR Rules.
Eigentlich stellt sich nur die Frage: Warum es nach wie vor keine Produkthaftung für Software gibt? Und man sollte denen evtl. das ISO9001 Zertifikat entziehen, QS scheint es dort ja nicht zu geben :p
Die Argumentation "das is zu komplex, zu vielfältig" oder welche Ausrede aus dem Ausredenkatalog auch immer ist einfach nur lachhaft. Das bekommen Hersteller von Maschinen und Anlagen auch hin und das kann z.T. auch sehr komplex und vielfältig sein und die sind am Ende für das Produkt haftbar – nur Software im Regelfall nicht.