Il 13 Gennaio, i clienti di Sicurezza di Windows e Microsoft Defender for Endpoint potrebbero aver riscontrato una serie di rilevamenti di falsi positivi per la regola Attack Surface Reduction (ASR) "Blocca le chiamate API Win32 dalle macro di Office" dopo l'aggiornamento alla build 1.381.2140.0 di
Security Intelligence.
Questi rilevamenti hanno comportato l'eliminazione di alcuni file di collegamento di Windows (.lnk) nel percorso
%ProgramData%\Microsoft\Windows\Start Menu\Programs che corrispondevano al modello di rilevamento errato.
Non vi è alcun impatto per i clienti che non hanno attivato la regola "Blocca le chiamate API Win32 dalle macro di Office" in modalità di blocco o non hanno eseguito l'aggiornamento alla build 1.381.2140.0 di Security Intelligence.
Link di riferimento:
Recovering from Attack Surface Reduction rule shortcut deletionsApplication shortcuts might not work from the Start menu or other locationsVorrei inoltre sottolineare che esistono vari programmi di configurazione anche in ambito domestico come
DefenderUI o
Configure Defender che consentono di impostare o disabilitare la stessa regola ASR di Windows Defender, quindi la cancellazione dei collegamenti .lnk non è stato riscontrata solamente in ambito aziendale.
Il primo link contiene un utile script Powershell di ripristino manuale dei collegamenti, da utilizzare solamente se non si è effettuato ripristino tramite programma di backup che gestisce le copie shadow o lo stesso Ripristino configurazione di sistema.