O Microsoft Defender deve fornecer muitos recursos de segurança para clientes domésticos e corporativos baseados no Windows. Alguns desses recursos, no entanto, estão se voltando contra os usuários e fazendo com que os administradores de sistema se arrependam de mais uma sexta-feira 13 infeliz.
O Bug do Microsoft Defender
A última sexta-feira foi um dia bastante azarado para usuários do Windows e administradores de sistema em todo o mundo. De acordo com vários relatórios, o Microsoft Defender para Endpoint se transformou em um atalho e arquivo “assassino” naquele dia fatídico, depois que o pacote de segurança começou a excluir atalhos de aplicativos da barra de tarefas e do menu Iniciar do Windows, às vezes até removendo os arquivos de programa vinculados do disco.
O problema foi enfrentado por vários administradores de sistema no Windows 10 e no Windows 11, e sua causa provável logo foi atribuída a uma regra ASR modificada por uma atualização recente do Defender.
As regras de redução da superfície de ataque (ASR) visam determinados comportamentos de software, como iniciar executáveis e scripts, executar scripts ofuscados ou “executar comportamentos que os aplicativos geralmente não iniciam durante o trabalho normal do dia-a-dia”, explica a Microsoft .
A regra ASR em questão é “Bloquear chamadas de API do Win32 a partir da macro do Office”, descobriram os administradores de sistema, e deu errado depois que a Microsoft lançou a atualização de assinatura 1.381.2140.0 para o Defender.
Em alguns casos, a regra modificada forçou o antimalware do sistema a remover os atalhos e desinstalar o pacote de produtividade do Office.
Além do Office, muitos outros programas foram afetados pela atualização do atalho e do matador de arquivos, incluindo Google Chrome, Mozilla Firefox, Slack, Visual Studio, Notepad++, Adobe Acrobat e muito mais.
Um boletim subsequente da Microsoft confirmou que o problema era de fato a regra ASR “Bloquear chamadas de API do Win32 da macro do Office” atualizada.
Como medida de mitigação, a corporação de Redmond disse que os administradores de sistema podem alterar o comportamento do ASR para “Modo de auditoria” usando o Intune ou a própria política de grupo do Windows. Uma solução definitiva veio um dia depois, com uma nova regra ASR incluída na atualização 1.381.2164.0 para o Defender.
No entanto, atalhos e programas excluídos pelo AV foram perdidos para sempre, disse a Microsoft, pois tiveram que ser recriados ou reinstalados do zero.
Uma outra atualização publicada no Microsoft Community Hub ofereceu uma solução parcial para este último problema, com um script do PowerShell projetado para recriar os atalhos excluídos para 33 dos programas mais populares afetados pelo bug (veja a lista abaixo).
Desnecessário dizer que o script não trouxe alegria para os administradores de sistema que foram forçados a reinstalar programas excluídos ou recriar os atalhos implantados por usuário em uma organização multiusuário.
| Adobe Acrobat | Adobe Photoshop 2023 |
| Adobe Illustrator 2023 | Adobe Creative Cloud |
| Firefox Private Browsing | Firefox |
| Google Chrome | Microsoft Edge |
| Notepad++ | Parallels Client |
| Remote Desktop | TeamViewer |
| Royal TS6 | Elgato StreamDeck |
| Visual Studio 2022 | Visual Studio Code |
| Camtasia Studio | Camtasia Recorder |
| Jabra Direct | 7-Zip File Manager |
| Access | Excel |
| OneDrive | OneNote |
| Outlook | PowerPoint |
| Project | Publisher |
| Visio | Word |
| PowerShell 7 (x64) | SQL Server Management Studio |
| Azure Data Studio |
Leia também: Windows Defender: você deve usá-lo?
