Fehlerhafte Defender-ASR-Regel löscht App-Verknüpfungen unter Windows

Das Problem tritt fast ausschließlich in Unternehmensumgebungen auf. Eine fehlerhafte Regel für Defender for Endpoint stuft bestimmte App-Verknüpfungen als schädlich ein.

Microsoft hat auf Beschwerden von Nutzern reagiert, bei denen Ende vergangener Woche App-Verknüpfungen zu Windows-Anwendungen im Startmenü, in der Taskleiste und auf dem Desktop verschwunden waren. Der Softwarekonzern bestätigte, dass eine fehlerhafte ASR-Regel (Attack Surface Reduction) von Windows Defender for Endpoint die Verknüpfungen versehentlich als schädlich einstuft und löscht.

Auslöser war das am vergangenen Freitag ausgerollte Defender Signatur-Update Build 1.381.2140.0. Es enthielt die fehlerhafte Regel zum Blockieren von Win32-API-Aufrufen von Office-Makros. Als Folge wurden bestimmte Verknüpfungsdateien (.lnk) gelöscht.

Windows 10, 11 und Enterprise betroffen

Betroffen sind Windows Clients mit Windows 11 21H2 und 22H2, Windows 10 20H2 bis 22H2, Windows 10 Enterprise LTSC 2009, Windows 10 Enterprise LTSC 2016 und Windows 10 Enterprise 2015 LTSB. Zudem muss ASR in Windows Defender aktiviert und Windows Defender for Endpoint mit Plan 1 oder höher im Einsatz sein.

„Wir untersuchen ein Problem, bei dem Benutzer nicht auf Anwendungsverknüpfungen im Startmenü und in der Taskleiste von Windows zugreifen können“, twitterte Microsoft. Kurz darauf teilte das Unternehmen mit, die fehlerhafte Regel sei zurückgezogen worden. Kunden forderte Microsoft zudem auf, die Funktion ASR in den Audit-Modus zu versetzen, um weiteren Schaden abzuwenden.

Skript stellt einige Verknüpfungen wieder her

Später stellte Microsoft klar, dass auch die Security Intelligence Update Builds 1.381.2152.0 und 1.381.2163.0 fehlerhaft sind. Erst Build 1.381.2164.0 und neuer sind fehlerfrei. Zudem bietet Microsoft ein Skript an, mit dem es möglich sein soll, zumindest einen Teil der gelöschten Verknüpfungen wiederherzustellen. Diese Skript lässt sich nach Unternehmensangaben um eigene Anwendungen erweitern. Eine Anleitung hält Microsoft in einem Techcommunity-Beitrag bereit.

Im Blog Borncity wird auch darauf hingewiesen, dass unter Umständen auch Privatanwender betroffen sein können. Bei ihnen trat das Problem auf, falls das Drittanbieter-Tool Defender UI installiert war, das ASR auch unter Windows 10 und Windows 11 verfügbar macht.

Themenseiten: Bug, Defender, Microsoft, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Fehlerhafte Defender-ASR-Regel löscht App-Verknüpfungen unter Windows

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *