User Impact: Users were unable to utilize the Application shortcuts on the Start menu, taskbar, and desktop.

More info: Shortcut icons in the Start menu, taskbar, or desktop may have no longer been visible or may not have worked as intended. Additionally, for some users, they may have received errors when trying to run Executable (.exe) files, if they had dependencies on an affected shortcut file path. Further information remains published here: github.com/microsoft/MDE-PowerBI-Templates/blob/master/ASR_scripts/ASR_rule_Block_Win32_API_calls_from_Office_Macro_issue_Q%26A.md

We’ve completed an update deployment within the security intelligence build(s) 1.381.2164.0 and later, on Friday, January 13, 2023, at 6:03 PM UTC. This fix update did not restore previously removed shortcut files, but it did prevent any additional shortcut files from being removed by the incorrect detection logic.

Customers are encouraged to update Microsoft Defender to build 1.381.2164.0 or later.
– Customers utilizing automatic updates for Microsoft Defender antivirus do not need to take additional action to receive the updated security intelligence build.
– Administrators who manage updates directly can download the latest update and deploy it across their environment(s), more information here: www.microsoft.com/en-us/wdsi/defenderupdates

Final status: We previously completed an update deployment within the security intelligence build(s) 1.381.2164.0 and later, on Friday, January 13, 2023, at 6:03 PM UTC, which has corrected the behavior. Customers are encouraged to update Microsoft Defender to build 1.381.2164.0 or later. Further updates regarding this issue will be made available through the Microsoft Tech Community post: aka.ms/asrfprecovery.

Scope of impact: This issue may have affected users within your organization; it was not specific to Office apps and could have impacted any application’s shortcut file. There was no impact for customers who (1) did not have the ?Block Win32 API calls from Office macro? rule turned on in block mode or, (2) did not update to an affected security intelligence build(s) 1.381.2134.0, 1.381.2140.0, 1.381.2152, and 1.381.2163.0.

Start time: Friday, January 13, 2023, at 8:51 AM UTC

End time: Thursday, January 19, 2023, at 6:47 AM UTC

Root cause: During a recent update to the Windows Security and Microsoft Defender for Endpoint service, user devices experienced a series of false positive detections for the Attack Surface Reduction (ASR) rule “Block Win32 API calls from Office macro” after updating to an affected security intelligence build(s) 1.381.2134.0, 1.381.2140.0, 1.381.2152, and 1.381.2163.0. These detections resulted in the identification of certain Windows shortcut (.lnk) files that matched the incorrect detection pattern and were subsequently removed.

Next steps:
– We’re improving our testing and deployment procedures to reduce the possibility of broad impact during scenarios related to this.
– We’re making improvements to our detection behaviors, to further reduce the time to detection for related scenarios.
– We?re incorporating additional updates to prevent the incorrect removal of files not intended to be within scope for the ASR scan logic.

We?ll publish a post-incident report within five business days.

影響:ユーザーは、[スタート] メニュー、タスクバー、およびデスクトップのアプリケーションのショートカットを使用できませんでした。

詳細情報: [スタート] メニュー、タスク バー、またはデスクトップのショートカット アイコンが表示されなくなったか、意図したとおりに機能しなかった可能性があります。さらに、一部のユーザーの場合、影響を受けるショートカット ファイル パスに依存している場合、実行可能 (.exe) ファイルを実行しようとしたときにエラーが表示される可能性があります。詳細情報はここに公開されたままです:https://github.com/microsoft/MDE-PowerBI-Templates/blob/master/ASR_scripts/ASR_rule_Block_Win32_API_calls_from_Office_Macro_issue_Q%26A.md

セキュリティ インテリジェンス ビルド 1.381.2164.0 以降で、2023 年 1 月 13 日金曜日の午後 6 時 3 分 (UTC) に更新プログラムの展開を完了しました。この修正プログラムの更新では、以前に削除されたショートカット ファイルは復元されませんでしたが、不適切な検出ロジックによって追加のショートカット ファイルが削除されるのを防ぎました。

お客様は、1.381.2164.0 以降をビルドするように Microsoft Defender を更新することをお勧めします。
– Microsoft Defender ウイルス対策の自動更新を利用しているお客様は、更新されたセキュリティ インテリジェンス ビルドを受け取るために追加のアクションを実行する必要はありません。
– 更新プログラムを直接管理する管理者は、最新の更新プログラムをダウンロードして環境全体に展開できます www.microsoft.com/en-us/wdsi/defenderupdates。

最終状態: 以前に、セキュリティ インテリジェンス ビルド 1.381.2164.0 以降で、2023 年 1 月 13 日金曜日の午後 6 時 3 分 (UTC) に更新プログラムの展開を完了し、動作を修正しました。お客様は、1.381.2164.0 以降をビルドするように Microsoft Defender を更新することをお勧めします。この問題に関するその他の更新は、マイクロソフト技術コミュニティの投稿 aka.ms/asrfprecovery から入手できます。

影響の範囲: この問題は、組織内のユーザーに影響を与えている可能性があります。これは Office アプリに固有のものではなく、アプリケーションのショートカット ファイルに影響を与える可能性があります。(1)が持っていなかったお客様には影響はありませんでしたか?Office マクロからの Win32 API 呼び出しをブロックしますか?ルールがブロック モードで有効になっているか、(2) 影響を受けるセキュリティ インテリジェンス ビルド 1.381.2134.0、1.381.2140.0、1.381.2152、および 1.381.2163.0 に更新されませんでした。

開始時間: 2023 年 1 月 13 日金曜日午前 8:51 UTC

終了時刻: 2023 年 1 月 19 日木曜日午前 6:47 UTC

根本原因: Windows セキュリティおよび Microsoft Defender for Endpoint サービスの最近の更新中に、影響を受けるセキュリティ インテリジェンス ビルド 1.381.2134.0、1.381.2140.0、1.381.2152、および 1.381.2163.0 に更新した後、ユーザー デバイスで攻撃面の縮小 (ASR) ルール “Office マクロからの Win32 API 呼び出しをブロックする” の一連の誤検知が検出されました。これらの検出により、誤った検出パターンに一致する特定の Windows ショートカット (.lnk) ファイルが識別され、その後削除されました。

次のステップ:
– これに関連するシナリオ中に広範な影響が発生する可能性を減らすために、テストと展開の手順を改善しています。
– 関連するシナリオの検出までの時間をさらに短縮するために、検出動作を改善しています。
– ASRスキャンロジックの範囲内にないことを意図していないファイルの誤った削除を防ぐために、追加の更新を組み込んでいます。

インシデント後のレポートは 5 営業日以内に公開されます。