User Impact: Users are unable to utilize the Application shortcuts on the Start menu, taskbar, and desktop.

More info: Shortcut icons in the Start menu, taskbar, or desktop may no longer be visible or may not work as intended. Additionally, for some users, they may receive errors when trying to run Executable (.exe) files, if they have dependencies on an affected shortcut file path. More information has been published here: github.com/microsoft/MDE-PowerBI-Templates/blob/master/ASR_scripts/ASR_rule_Block_Win32_API_calls_from_Office_Macro_issue_Q%26A.md

We’ve completed an update deployment within the security intelligence build(s) 1.381.2164.0 and later, on Friday, January 13, 2023, at 6:03 PM UTC. This fix update will not restore previously removed shortcut files, but it will prevent any additional shortcut files from being removed by the incorrect detection logic.

Customers are encouraged to update Microsoft Defender to build 1.381.2164.0 or later.
– Customers utilizing automatic updates for Microsoft Defender antivirus do not need to take additional action to receive the updated security intelligence build.
– Administrators who manage updates directly can download the latest update and deploy it across their environment(s), more information here: www.microsoft.com/en-us/wdsi/defenderupdates

Microsoft has confirmed the effectiveness of steps that administrators and users can take to re-create start menu links for a significant subset of the affected applications that were removed. These steps have been consolidated into the PowerShell script in the following link to help admins take recovery actions within their environment. Users or admins must be a local administrator on the machine that the script will be run on: aka.ms/asrfprecovery

Current status: An additional update has been made to the Microsoft Tech Community post: aka.ms/asrfprecovery. The blog continues to include the latest version of the script, provides resources for some admins to identify affected machines or files within their environment, and additional steps intended to further aid customers in recovering affected shortcut files.

Scope of impact: This issue may affect users within your organization; it is not specific to Office apps and can impact any application’s shortcut file. There is no impact for customers who (1) did not have the ?Block Win32 API calls from Office macro? rule turned on in block mode or, (2) did not update to an affected security intelligence build(s) 1.381.2134.0, 1.381.2140.0, 1.381.2152, and 1.381.2163.0.

Start time: Friday, January 13, 2023, at 8:51 AM UTC

Root cause: During a recent update to the Windows Security and Microsoft Defender for Endpoint service, user devices experienced a series of false positive detections for the Attack Surface Reduction (ASR) rule “Block Win32 API calls from Office macro” after updating to an affected security intelligence build(s) 1.381.2134.0, 1.381.2140.0, 1.381.2152, and 1.381.2163.0. These detections resulted in the identification of certain Windows shortcut (.lnk) files that matched the incorrect detection pattern and were subsequently removed.

Next update by: Friday, January 20, 2023, at 8:00 PM UTC

ユーザへの影響:ユーザが [スタート] メニュー、タスクバー、およびデスクトップのアプリケーションのショートカットを利用できない。

詳細情報: [スタート] メニュー、タスク バー、またはデスクトップのショートカット アイコンが表示されなくなったり、意図したとおりに動作しなくなったりする場合があります。さらに、一部のユーザーの場合、影響を受けるショートカット ファイル パスに依存している場合、実行可能 (.exe) ファイルを実行しようとするとエラーが発生する場合があります。詳細情報はここに公開されています:https://github.com/microsoft/MDE-PowerBI-Templates/blob/master/ASR_scripts/ASR_rule_Block_Win32_API_calls_from_Office_Macro_issue_Q%26A.md

セキュリティ インテリジェンス ビルド 1.381.2164.0 以降で、2023 年 1 月 13 日金曜日の午後 6 時 3 分 (UTC) に更新プログラムの展開を完了しました。この修正プログラムの更新では、以前に削除されたショートカット ファイルは復元されませんが、不適切な検出ロジックによって追加のショートカット ファイルが削除されるのを防ぐことができます。

お客様は、1.381.2164.0 以降をビルドするように Microsoft Defender を更新することをお勧めします。
– Microsoft Defender ウイルス対策の自動更新を利用しているお客様は、更新されたセキュリティ インテリジェンス ビルドを受け取るために追加のアクションを実行する必要はありません。
– 更新プログラムを直接管理する管理者は、最新の更新プログラムをダウンロードして環境全体に展開できます www.microsoft.com/en-us/wdsi/defenderupdates。

マイクロソフトは、削除された影響を受けるアプリケーションの重要なサブセットのスタート メニューのリンクを再作成するために管理者とユーザーが実行できる手順の有効性を確認しました。これらの手順は、次のリンクの PowerShell スクリプトに統合されており、管理者が環境内で回復アクションを実行するのに役立ちます。ユーザーまたは管理者は、スクリプトが実行されるマシンのローカル管理者である必要があります。 aka.ms/asrfprecovery

現在のステータス: マイクロソフト技術コミュニティの投稿に追加の更新が行われました: aka.ms/asrfprecovery.このブログには、スクリプトの最新バージョンが引き続き含まれており、一部の管理者が環境内で影響を受けるマシンまたはファイルを特定するためのリソースと、影響を受けるショートカット ファイルを回復する際にお客様をさらに支援することを目的とした追加の手順を提供します。

影響の範囲: この問題は、組織内のユーザーに影響を与える可能性があります。これは Office アプリに固有のものではなく、アプリケーションのショートカット ファイルに影響を与える可能性があります。(1)をお持ちでないお客様には影響はありません。Office マクロからの Win32 API 呼び出しをブロックしますか?ルールがブロック モードで有効になっているか、(2) 影響を受けるセキュリティ インテリジェンス ビルド 1.381.2134.0、1.381.2140.0、1.381.2152、および 1.381.2163.0 に更新されませんでした。

開始時間: 2023 年 1 月 13 日金曜日午前 8:51 UTC

根本原因: Windows セキュリティおよび Microsoft Defender for Endpoint サービスの最近の更新中に、影響を受けるセキュリティ インテリジェンス ビルド 1.381.2134.0、1.381.2140.0、1.381.2152、および 1.381.2163.0 に更新した後、ユーザー デバイスで攻撃面の縮小 (ASR) ルール “Office マクロからの Win32 API 呼び出しをブロックする” の一連の誤検知が検出されました。これらの検出により、誤った検出パターンに一致する特定の Windows ショートカット (.lnk) ファイルが識別され、その後削除されました。

次回の更新: 2023年1月20日(金)午後8:00 UTC