{"id":276899,"date":"2023-01-16T12:04:02","date_gmt":"2023-01-16T11:04:02","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=276899"},"modified":"2023-01-16T13:28:22","modified_gmt":"2023-01-16T12:28:22","slug":"asrmageddon-warum-privatnutzer-betroffen-waren-wie-man-shortcuts-restauriert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/01\/16\/asrmageddon-warum-privatnutzer-betroffen-waren-wie-man-shortcuts-restauriert\/","title":{"rendered":"ASRmageddon: Warum Privatnutzer betroffen waren, wie man Shortcuts restauriert"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/01\/16\/asrmageddon-warum-privatnutzer-betroffen-waren-wie-man-shortcuts-restauriert\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Freitag den 13. Januar 2023 waren weltweit Windows-Nutzer von einem fehlerhaften Defender Signatur-Update betroffen, welches \u00fcber eine ASR-Regel Desktop-Verkn\u00fcpfungen und mehr l\u00f6schte. In einer Nachbereitung werfe ich ein Licht darauf, warum auch private Windows 10\/11-Nutzer betroffen sein konnten. Und es gibt noch einen Ansatz, die gel\u00f6schten Verkn\u00fcpfungen aus den Volumenschattenkopien zu restaurieren.<\/p>\n<p><!--more--><\/p>\n<h2>ASRmageddon: Was war los?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/5073394f03074a1f905fc10abe4680bc\" alt=\"\" width=\"1\" height=\"1\" \/>Am Freitag Vormittag stellten Nutzer und Administratoren fest, dass weltweit auf Windows-Maschinen pl\u00f6tzlich Verkn\u00fcpfungen auf dem Desktop, in der Taskleiste und im Startmen\u00fc gel\u00f6scht wurden. Andere Nutzer stellten fest, dass sich Office-Anwendungen pl\u00f6tzlich nicht mehr starten lie\u00dfen. Ich hatte das Problem zeitnah im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/01\/13\/microsoft-asr-lscht-desktop-shortcuts-taskleiste-kaputt-office-apps-starten-nicht-mehr\/\">Microsoft ASR\/Defender-Update l\u00f6scht Desktop-Shortcuts, Taskleiste kaputt, Office-Apps starten nicht mehr<\/a> aufgegriffen und eine Ursache angegeben.<\/p>\n<p>Das Signatur-Update Build 1.381.2140.0 (von Microsoft als Security Intelligence-Update bezeichnet) war fehlerhaft. Auf betroffenen Ger\u00e4ten bewirkte die fehlerhafte Signatur bei aktivierter ASR-Regel \"Win32-API-Aufrufe von Office-Makros blockieren\" (\"Block Win32 API calls from Office macro\"), dass Verkn\u00fcpfungen als sch\u00e4dlich erkannt und gel\u00f6scht wurden. Das K\u00fcrzel ASR steht f\u00fcr Attack Surface Reduction, eine Funktionalit\u00e4t in Windows, um Ger\u00e4te vor bestimmten Angriffen zu sch\u00fctzen. Sp\u00e4ter wurde das Ganze von Microsoft in einer Erkl\u00e4rung best\u00e4tigt (siehe <a href=\"https:\/\/borncity.com\/blog\/2023\/01\/14\/windows-lscht-verknpfungen-microsoft-erklrt-windows-defender-asr-problem-vom-13-jan-2023\/\">Windows l\u00f6scht Verkn\u00fcpfungen; Microsoft erkl\u00e4rt Windows Defender ASR-Problem vom 13. Jan. 2023<\/a>). Betroffen waren die folgenden Windows 10\/11 Clients:<\/p>\n<ul>\n<li>Windows 11 21H2 und 22H2;<\/li>\n<li>Windows 10 20H2 bis 22H2<\/li>\n<li>Windows 10 Enterprise LTSC 2019<\/li>\n<li>Windows 10 Enterprise LTSC 2016<\/li>\n<li>Windows 10 Enterprise 2015 LTSB<\/li>\n<\/ul>\n<p>sofern ASR aktiviert war. Microsoft meinte zwar, dass das Ganze erst mit dem Windows Defender for Endpoint (Plan 1 und h\u00f6her) wirksam wurde. Aber es gab auch Berichte von Nutzern, die nur ein Windows 10\/11 im Einsatz hatten.<\/p>\n<h2>Defender UI-Nutzer auch betroffen<\/h2>\n<p>Mir lagen einzelne Stimmen von Nutzern vor, die davon berichteten, auch auf ihren Privatrechnern von den gel\u00f6schten Verkn\u00fcpfungen betroffen worden zu sein. Ad-hoc schien dies unwahrscheinlich, ist dort doch kein Microsoft Defender for Endpoint (ab Plan 1) im Einsatz. Ich habe es mir so erkl\u00e4rt, dass die Betroffenen auf ihren Einzelplatzsystemen vielleicht ASR unter Windows 10 oder Windows 11 mittels Gruppenrichtlinien oder der Powershell aktiviert hatten.<\/p>\n<p>Nun hat sich Blog-Leser Wolf J in <a href=\"https:\/\/borncity.com\/blog\/2023\/01\/14\/windows-lscht-verknpfungen-microsoft-erklrt-windows-defender-asr-problem-vom-13-jan-2023\/#comment-140356\">diesem Kommentar<\/a> gemeldet und best\u00e4tigte nicht nur, dass Privatanwender betroffen waren. Zu meiner Vermutung \"m\u00f6glicherweise, sofern ASR unter Windows 10\/11 \u00fcber die PowerShell oder Gruppenrichtlinien aktiviert war\" schreibt er auch warum es einige Privatnutzer getroffen hat.<\/p>\n<blockquote><p>Tats\u00e4chlich hat sich bei unseren Untersuchungen herausgestellt, dass Privatanwender betroffen waren, die <em>Defender UI<\/em> eingesetzt hatten.<br \/>\nDer Fehler wurde recht fr\u00fchzeitig von einem User im Windows 10 Forum gemeldet.<\/p><\/blockquote>\n<p><a href=\"https:\/\/www.defenderui.com\/\" target=\"_blank\" rel=\"nofollow noopener\">Defender UI<\/a> ist ein freies Tool, welches eine bessere Benutzeroberfl\u00e4che f\u00fcr den Microsoft Defender verspricht (siehe folgenden Screenshot von der Webseite der Entwickler). Und mit diesem Tool haben sich die Leute die \"Laus im Schafspelz\" mit auf die Systeme geholt.<\/p>\n<p><a href=\"https:\/\/www.defenderui.com\/\" target=\"_blank\" rel=\"nofollow noopener\"><img decoding=\"async\" title=\"Defender UI\" src=\"https:\/\/i.imgur.com\/YRU7FLV.png\" alt=\"Defender UI\" \/><\/a><\/p>\n<p>Wolf J. ist der Frage n\u00e4mlich nachgegangen, warum es doch Privatanwender mit ASRmageddon getroffen hat. In seinem Kommentar schreibt es dann:<\/p>\n<blockquote><p>Wir konnten das Problem zuerst auch nicht eingrenzen, bis von weiteren Usern die Aussage kam, dass Defender UI im Einsatz war.<\/p>\n<p>Daraufhin habe ich die Software auf einem Testrechner installiert und gesehen, dass auch ohne eigene \u00c4nderungen die ASR Rules aktiviert wurden. Schon die Einstellung \"warn\" reicht aus, um die inzwischen bekannten Auswirkungen zu beobachten.<\/p>\n<p>Per Powershell mit dem Befehl:<\/p>\n<pre>Get-MpPreference | select AttackSurfaceReductionRules_Ids, AttackSurfaceReductionRules_Actions<\/pre>\n<p>kann man sich das ansehen und mit<\/p>\n<pre>Remove-MpPreference -AttackSurfaceReductionRules_Ids<\/pre>\n<p>gezielt l\u00f6schen. Auch das Zur\u00fccksetzen per Defender UI auf \"Werkseinstellung\" l\u00f6schte die gesetzten ASR Rules.<\/p><\/blockquote>\n<p>An dieser Stelle mein Dank an den Blog-Leser, dass er uns an seinen Erkenntnissen teilhaben l\u00e4sst. Die Episode zeigt erneut das Risiko, dem man sich mit der Verwendung solcher Tools aussetzt, wenn man nicht genau nachvollzieht, was da genau gemacht wird.<\/p>\n<h2>Verkn\u00fcpfungen zur\u00fcckholen<\/h2>\n<p>Ich hatte bereits in den Blog-Beitr\u00e4gen <a href=\"https:\/\/borncity.com\/blog\/2023\/01\/13\/microsoft-asr-lscht-desktop-shortcuts-taskleiste-kaputt-office-apps-starten-nicht-mehr\/\">Microsoft ASR\/Defender-Update l\u00f6scht Desktop-Shortcuts, Taskleiste kaputt, Office-Apps starten nicht mehr<\/a> und <a href=\"https:\/\/borncity.com\/blog\/2023\/01\/14\/windows-lscht-verknpfungen-microsoft-erklrt-windows-defender-asr-problem-vom-13-jan-2023\/\">Windows l\u00f6scht Verkn\u00fcpfungen; Microsoft erkl\u00e4rt Windows Defender ASR-Problem vom 13. Jan. 2023<\/a> auf Scripte hingewiesen, die die gel\u00f6schten Verkn\u00fcpfungen restaurieren k\u00f6nnen. Phillipp Schweizer merkt in <a href=\"https:\/\/borncity.com\/blog\/2023\/01\/14\/windows-lscht-verknpfungen-microsoft-erklrt-windows-defender-asr-problem-vom-13-jan-2023\/#comment-140335\" target=\"_blank\" rel=\"noopener\">diesem Kommentar<\/a> aber an, dass die Microsoft Script-L\u00f6sung nicht auf einem lokalisierten Windows funktioniere:<\/p>\n<blockquote><p>Die L\u00f6sung von MS ist echt mies \u2013 rollt man das SCript via Intune aus l\u00e4uft es nicht ordentlich (32\/64Bit Problematik), dazu sind die Rechte darin Hard Coded und auf einem deutschen Windows nicht zu gebrauchen.<\/p>\n<p>Was ebenfalls fehlt \u2013 hatte der Benutzer die Apps aus dem Startmenu an die Taskleiste gepinnt bleibt der ein wei\u00dfes K\u00e4stchen \u2013 das konnten wir via Script ebenfalls noch nicht l\u00f6sen.<\/p><\/blockquote>\n<p>Auf Twitter bin ich aber auf zwei Fundstellen gesto\u00dfen, die sich mit der Restaurierung der gel\u00f6schten .lnk-Dateien befassen, die ich der Leserschaft nicht vorenthalten m\u00f6chte.<\/p>\n<p><img decoding=\"async\" title=\"ASRmageddon: Recover deleted .lnk files\" src=\"https:\/\/i.imgur.com\/S13FWxr.png\" alt=\"ASRmageddon: Recover deleted .lnk files\" \/><\/p>\n<p>Wenn der Volumenschattenkopien-Dienst l\u00e4uft, sollten die gel\u00f6schten .lnk-Dateien noch in den Volumenschattenkopien finden. Tero Alhonen weist in obigem <a href=\"https:\/\/twitter.com\/teroalhonen\/status\/1614894825144258561\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> auf eine L\u00f6sung hin, die Matt Rouse als Kommentar zum <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/microsoft-defender-for-endpoint\/recovering-from-attack-surface-reduction-rule-shortcut-deletions\/bc-p\/3716248\/highlight\/true#M2146\" target=\"_blank\" rel=\"noopener\">Techcommunity-Beitrag<\/a> eingestellt hat.<\/p>\n<blockquote><p>I believe I've found a general purpose command line solution that can be deployed to leverage any existing shadow copies and put shortcuts back on the Start Menu. Shadow copies are predictably named which is helpful. I believe they only persist for a couple of weeks so the contents should be recent enough to be useful as well.<\/p>\n<p>Consider the following script which will mount the last five shadow copies, one-by-one, attempt to copy the contents of the Start Menu folder back to the live location, and then dismount the shadow copy. If the shadow copies don't exist, the command will fail but no damage will be done and nothing will be overwritten. Note this script does require admin privileges.<\/p>\n<pre>mklink \/d c:\\shadowrestore \\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy1\\\r\nrobocopy \/e \/r:1 \/w:1 \"c:\\shadowrestore\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\" \"C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\"\r\nrmdir c:\\shadowrestore\r\n\r\nmklink \/d c:\\shadowrestore \\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy2\\\r\nrobocopy \/e \/r:1 \/w:1 \"c:\\shadowrestore\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\" \"C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\"\r\nrmdir c:\\shadowrestore\r\n\r\nmklink \/d c:\\shadowrestore \\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy3\\\r\nrobocopy \/e \/r:1 \/w:1 \"c:\\shadowrestore\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\" \"C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\"\r\nrmdir c:\\shadowrestore\r\n\r\nmklink \/d c:\\shadowrestore \\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy4\\\r\nrobocopy \/e \/r:1 \/w:1 \"c:\\shadowrestore\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\" \"C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\"\r\nrmdir c:\\shadowrestore\r\n\r\nmklink \/d c:\\shadowrestore \\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy5\\\r\nrobocopy \/e \/r:1 \/w:1 \"c:\\shadowrestore\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\" \"C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\"\r\nrmdir c:\\shadowrestore<\/pre>\n<p>Thoughts or comments? This seems to work well in my test environment. Note that you can list shadow copies for a volume with the following command:<\/p>\n<p>vssadmin list shadows \/for=c:<\/p>\n<p>Hope this helps someone.<\/p><\/blockquote>\n<p>Zudem hat Microsoft MVP Nicklas Ahlberg ein Script zum Restaurieren der gel\u00f6schten Verkn\u00fcpfungsdateien ver\u00f6ffentlicht, auf das er in nachfolgendem <a href=\"https:\/\/twitter.com\/AhlbergNicklas\/status\/1614657265658650626\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> hinweist.<\/p>\n<p><a href=\"https:\/\/twitter.com\/AhlbergNicklas\/status\/1614657265658650626\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"ASRmageddon: Recover deleted .lnk files\" src=\"https:\/\/i.imgur.com\/jrsmyVS.png\" alt=\"ASRmageddon: Recover deleted .lnk files\" \/><\/a><\/p>\n<p>Vielleicht hilft eine der obigen L\u00f6sungen den Betroffenen weiter.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/01\/13\/microsoft-asr-lscht-desktop-shortcuts-taskleiste-kaputt-office-apps-starten-nicht-mehr\/\">Microsoft ASR\/Defender-Update l\u00f6scht Desktop-Shortcuts, Taskleiste kaputt, Office-Apps starten nicht mehr<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/01\/14\/windows-lscht-verknpfungen-microsoft-erklrt-windows-defender-asr-problem-vom-13-jan-2023\/\">Windows l\u00f6scht Verkn\u00fcpfungen; Microsoft erkl\u00e4rt Windows Defender ASR-Problem vom 13. Jan. 2023<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Freitag den 13. Januar 2023 waren weltweit Windows-Nutzer von einem fehlerhaften Defender Signatur-Update betroffen, welches \u00fcber eine ASR-Regel Desktop-Verkn\u00fcpfungen und mehr l\u00f6schte. In einer Nachbereitung werfe ich ein Licht darauf, warum auch private Windows 10\/11-Nutzer betroffen sein konnten. Und es &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/01\/16\/asrmageddon-warum-privatnutzer-betroffen-waren-wie-man-shortcuts-restauriert\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,7862,161,301,3694],"tags":[2699,24,4313,3288],"class_list":["post-276899","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-stoerung","category-virenschutz","category-windows","category-windows-10","tag-defender","tag-problem","tag-virenschutz","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276899","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=276899"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276899\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=276899"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=276899"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=276899"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}