Paume faciale : Microsoft Defender devrait fournir de nombreuses fonctionnalités de sécurité pour les entreprises Windows et les particuliers. Certaines de ces fonctionnalités, cependant, se retournent contre les utilisateurs et font regretter aux administrateurs système un autre vendredi 13 malchanceux.

Comme le veut la tradition, le vendredi 13 a été un jour plutôt malchanceux pour les utilisateurs de Windows et les administrateurs système du monde entier. Selon plusieurs rapports, vendredi dernier, Microsoft Defender pour Endpoint s’est transformé en un raccourci et un « tueur » de fichiers. Ce jour fatidique, la suite de sécurité a commencé à supprimer les raccourcis d’application de la barre des tâches et du menu Démarrer de Windows, supprimant parfois même les fichiers de programme liés du disque.

Le problème a été rencontré par plusieurs administrateurs système sur Windows 10 et Windows 11, et sa cause probable a rapidement été liée à une règle ASR modifiée par une mise à jour récente pour Defender. Les règles de réduction de la surface d’attaque (ASR) ciblent certains comportements logiciels comme le lancement d’exécutables et de scripts, l’exécution de scripts obscurcis ou « l’exécution de comportements que les applications n’initient généralement pas pendant le travail quotidien normal », Microsoft explique.

La règle ASR en question est « Bloquer les appels d’API Win32 à partir de la macro Office », ont découvert les administrateurs système, et elle s’est détraquée après que Microsoft a publié la mise à jour de signature 1.381.2140.0 pour Defender. Dans certains casla règle modifiée a poussé l’antimalware du système à supprimer les raccourcis et à désinstaller complètement la suite de productivité Office.

2023 01 16 Image 5

Publicité

Outre Office, de nombreux autres programmes ont été affectés par la mise à jour des raccourcis et du tueur de fichiers, notamment Google Chrome, Mozilla Firefox, Slack, Visual Studio, Notepad ++, Adobe Acrobat, etc. Un bulletin ultérieur de Microsoft confirmé que le problème était bien la règle ASR mise à jour « Bloquer les appels d’API Win32 à partir de la macro Office ».

Comme mesure d’atténuation, la société Redmond a déclaré que les administrateurs système pourraient modifier le comportement ASR en « mode audit » en utilisant Intune ou la propre stratégie de groupe de Windows. Une solution définitive est finalement arrivée un jour plus tard, avec une nouvelle règle ASR incluse dans la mise à jour 1.381.2164.0 pour Defender. Cependant, les raccourcis et les programmes supprimés par l’AV ont été perdus pour de bon, a déclaré Microsoft, car ils ont dû être recréés ou réinstallés à partir de zéro.

Une autre mise à jour publié sur Microsoft Community Hub a proposé une solution partielle à ce dernier problème, avec un script PowerShell conçu pour recréer les raccourcis supprimés pour trente-trois des programmes les plus populaires affectés par le bogue. Inutile de dire que le script n’a pas réjoui les administrateurs système qui ont été contraints de réinstaller des programmes supprimés ou de recréer les raccourcis déployés par utilisateur dans une organisation multi-utilisateurs.

Rate this post
Publicité
Article précédentLa montre intelligente CITIZEN CZ a une mise à jour de bien-être qui apprend et devient plus intelligente avec le porteur » Gadget Flow
Article suivantDécomposer l’avantage historique du recrutement de CU sous Deion Sanders
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici