Paume faciale : Microsoft Defender devrait fournir de nombreuses fonctionnalités de sécurité pour les entreprises Windows et les particuliers. Certaines de ces fonctionnalités, cependant, se retournent contre les utilisateurs et font regretter aux administrateurs système un autre vendredi 13 malchanceux.
Comme le veut la tradition, le vendredi 13 a été un jour plutôt malchanceux pour les utilisateurs de Windows et les administrateurs système du monde entier. Selon plusieurs rapports, vendredi dernier, Microsoft Defender pour Endpoint s’est transformé en un raccourci et un « tueur » de fichiers. Ce jour fatidique, la suite de sécurité a commencé à supprimer les raccourcis d’application de la barre des tâches et du menu Démarrer de Windows, supprimant parfois même les fichiers de programme liés du disque.
Le problème a été rencontré par plusieurs administrateurs système sur Windows 10 et Windows 11, et sa cause probable a rapidement été liée à une règle ASR modifiée par une mise à jour récente pour Defender. Les règles de réduction de la surface d’attaque (ASR) ciblent certains comportements logiciels comme le lancement d’exécutables et de scripts, l’exécution de scripts obscurcis ou « l’exécution de comportements que les applications n’initient généralement pas pendant le travail quotidien normal », Microsoft explique.
La règle ASR en question est « Bloquer les appels d’API Win32 à partir de la macro Office », ont découvert les administrateurs système, et elle s’est détraquée après que Microsoft a publié la mise à jour de signature 1.381.2140.0 pour Defender. Dans certains casla règle modifiée a poussé l’antimalware du système à supprimer les raccourcis et à désinstaller complètement la suite de productivité Office.
Outre Office, de nombreux autres programmes ont été affectés par la mise à jour des raccourcis et du tueur de fichiers, notamment Google Chrome, Mozilla Firefox, Slack, Visual Studio, Notepad ++, Adobe Acrobat, etc. Un bulletin ultérieur de Microsoft confirmé que le problème était bien la règle ASR mise à jour « Bloquer les appels d’API Win32 à partir de la macro Office ».
Comme mesure d’atténuation, la société Redmond a déclaré que les administrateurs système pourraient modifier le comportement ASR en « mode audit » en utilisant Intune ou la propre stratégie de groupe de Windows. Une solution définitive est finalement arrivée un jour plus tard, avec une nouvelle règle ASR incluse dans la mise à jour 1.381.2164.0 pour Defender. Cependant, les raccourcis et les programmes supprimés par l’AV ont été perdus pour de bon, a déclaré Microsoft, car ils ont dû être recréés ou réinstallés à partir de zéro.
Une autre mise à jour publié sur Microsoft Community Hub a proposé une solution partielle à ce dernier problème, avec un script PowerShell conçu pour recréer les raccourcis supprimés pour trente-trois des programmes les plus populaires affectés par le bogue. Inutile de dire que le script n’a pas réjoui les administrateurs système qui ont été contraints de réinstaller des programmes supprimés ou de recréer les raccourcis déployés par utilisateur dans une organisation multi-utilisateurs.