User Impact: Users are unable to utilize the Application shortcuts on the Start menu and taskbar.

More info: The shortcut icons in the taskbar or Start menu may no longer be visible or may not work as intended. Additionally, for some users, they may receive errors when trying to run Executable (.exe) files, if they have dependencies on the shortcut file path.

We’ve completed a hotfix deployment within the build 1.381.2164.0 on Friday, January 13, 2023, at 6:03 PM UTC. This fix update will not restore previously removed shortcut files, but it will prevent any additional shortcut files from being incorrectly removed.

Microsoft has confirmed steps that users can take to recreate start menu links for a significant subset of the affected applications that were deleted. These steps have been consolidated into the PowerShell script in the following link. Users must be a local administrator on the machine that the script will be run on: aka.ms/asrfprecovery

Current status: We’ve provided an update to aka.ms/asrfprecovery that includes additional details regarding the issue as well as instructions to deploy the script using Microsoft Intune. We’re continuing to perform extensive internal tests and are also reviewing customer feedback so we can improve upon the provided workaround details and include additional apps and scenarios. We’ll provide updates to aka.ms/asrfprecovery as we validate our findings.

Scope of impact: This issue likely affects users within your organization and is not specific to Office apps, and can impact any application’s shortcut file. There is no impact for customers who do not have the ?Block Win32 API calls from Office macro? rule turned on in block mode or did not update to security intelligence update build 1.381.2140.0.

Start time: Friday, January 13, 2023, at 8:51 AM UTC

Root cause: During a recent update to the Windows Security and Microsoft Defender for Endpoint service, user devices experienced a series of false positive detections for the Attack Surface Reduction (ASR) rule “Block Win32 API calls from Office macro” after updating to security intelligence build 1.381.2140.0. These detections resulted in the identification of certain Windows shortcut (.lnk) files that matched the incorrect detection pattern and were subsequently removed.

Next update by: Monday, January 16, 2023, at 8:00 PM UTC

ユーザへの影響:ユーザは、[スタート] メニューおよびタスクバーのアプリケーションのショートカットを使用できなくなります。

詳細情報: タスク バーまたは [スタート] メニューのショートカット アイコンが表示されなくなったり、意図したとおりに動作しなくなったりする場合があります。さらに、一部のユーザーの場合、ショートカット ファイル パスに依存している場合、実行可能 (.exe) ファイルを実行しようとするとエラーが発生する場合があります。

ビルド 1.381.2164.0 内の修正プログラムの展開は、2023 年 1 月 13 日金曜日の午後 6:03 UTC に完了しました。この修正プログラムの更新では、以前に削除されたショートカット ファイルは復元されませんが、追加のショートカット ファイルが誤って削除されるのを防ぐことができます。

マイクロソフトは、削除された影響を受けるアプリケーションの重要なサブセットのスタートメニューリンクを再作成するためにユーザーが実行できる手順を確認しました。これらの手順は、次のリンクの PowerShell スクリプトに統合されています。ユーザーは、スクリプトが実行されるマシンのローカル管理者である必要があります。 aka.ms/asrfprecovery

現在の状態: 問題に関する追加の詳細と、Microsoft Intune を使用してスクリプトを展開する手順を含む更新プログラムを aka.ms/asrfprecovery に提供しました。広範な内部テストを引き続き実施し、お客様からのフィードバックを確認して、提供された回避策の詳細を改善し、追加のアプリとシナリオを含めています。調査結果を検証する際に、https://aka.ms/asrfprecovery に最新情報を提供します。

影響の範囲: この問題は組織内のユーザーに影響する可能性が高く、Office アプリに固有のものではなく、アプリケーションのショートカット ファイルに影響を与える可能性があります。をお持ちでないお客様には影響はありませんか?Office マクロからの Win32 API 呼び出しをブロックしますか?ルールがブロック モードで有効になっているか、セキュリティ インテリジェンス更新プログラム ビルド 1.381.2140.0 に更新されませんでした。

開始時間: 2023 年 1 月 13 日金曜日午前 8:51 UTC

根本原因: Windows セキュリティおよび Microsoft Defender for Endpoint サービスの最近の更新中に、セキュリティ インテリジェンス ビルド 1.381.2140.0 に更新した後、ユーザー デバイスで攻撃表面の縮小 (ASR) ルール “Office マクロからの Win32 API 呼び出しをブロックする” の一連の誤検知が検出されました。これらの検出により、誤った検出パターンに一致する特定の Windows ショートカット (.lnk) ファイルが識別され、その後削除されました。

次回の更新期限: 2023年1月16日(月)20:00 UTC