Se acumulan falsos positivos de Defender for Endpoint

Microsoft ha abordado un falso positivo provocado por una regla ASR defectuosa de Microsoft Defender que eliminaría los accesos directos de aplicaciones del escritorio, el menú Inicio y la barra de tareas y, en algunos casos, dejaría inutilizables los accesos directos existentes, ya que ya no iniciarían las aplicaciones vinculadas.

El problema afectó a los accesos directos de la aplicación en los dispositivos administrados después de que la regla de reducción de la superficie de ataque (ASR) de Microsoft Defender para Endpoint se activara por error.

Cuando funciona correctamente, esta regla ASR (conocida como "Bloquear llamadas a la API de Win32 desde la macro de Office" en Configuration Manager e "Importaciones de Win32 desde el código de macro de Office" en Intune) debería impedir que el malware use macros de VBA para llamar a las API de Win32.

"El malware puede abusar de esta capacidad, como llamar a las API de Win32 para ejecutar un shellcode malicioso sin escribir nada directamente en el disco", explica Microsoft .

"La mayoría de las organizaciones no confían en la capacidad de llamar a las API de Win32 en su funcionamiento diario, incluso si usan macros de otras maneras".

Si bien normalmente esto ayudaría a reducir la superficie de ataque que los actores de amenazas podrían usar para comprometer los dispositivos protegidos por Microsoft Defender Antivirus, una mala firma de Defender (1.381.2140.0) provocó la regla ASR (Regla ID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b) comportarse mal y activar los accesos directos de las aplicaciones de los usuarios, etiquetándolos falsamente como maliciosos.

Los administradores de Windows informan que la regla ASR está eliminando accesos directos que pertenecen tanto a aplicaciones de Microsoft como a aplicaciones de terceros.

"Recientemente incorporamos nuestro estado a Defender para Endpoint y recibimos varios informes esta mañana de que los accesos directos de sus programas (Chrome, Firefox, Outlook) desaparecieron después de reiniciar su máquina, lo que también me sucedió a mí. también", dijo un administrador .

"Estamos viendo exactamente el mismo problema. Tuve que impulsar una actualización de la política para configurar esta regla en el modo Auditoría en lugar de Bloquear, ya que está destruyendo casi todas las aplicaciones de terceros e incluso las propias, como también dijiste. Slack, Chrome, Outlook", confirmó otro .

Para solucionar el problema, Microsoft ha deshabilitado la regla ASR infractora y ha pedido a los clientes que consulten SI MO497128 en el centro de administración para obtener más actualizaciones.


En la última actualización del centro de administración, Microsoft dijo que la regla ASR revertida necesita varias horas para propagarse a todos los clientes afectados y recomendó colocarla en modo Auditoría o deshabilitarla por completo.

"Revertimos la regla ASR ofensiva, sin embargo, este cambio se está propagando por todo el entorno y podría tardar varias horas en completarse", dijo Microsoft.

"Recomendamos que tome medidas para colocar la regla ASR infractora en modo de auditoría y evitar un mayor impacto hasta que la actualización haya completado la implementación".

Puede poner la regla ASR en modo de auditoría utilizando uno de los siguientes métodos:

- Uso de Powershell: Add-MpPreference -AttackSurfaceReductionRules_Ids 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b -AttackSurfaceReductionRules_Actions AuditMode
- Uso de Intune
- Uso de la política de grupo
- La cuarta opción es configurar la regla en modo deshabilitado usando el siguiente comando de Powershell:


Hasta que el problema se solucione por completo y se puedan restaurar todos los accesos directos eliminados, Microsoft aconsejó a los clientes que inicien directamente las aplicaciones de Office usando la aplicación de Office o el iniciador de aplicaciones de Microsoft 365 .

Los administradores del sistema han creado secuencias de comandos de PowerShell [ 1 , 2 ] que intentan restaurar los accesos directos de Microsoft Office y otras aplicaciones en el menú Inicio. Sin embargo, estos deben probarse antes de ser utilizados en la producción.

Un portavoz de Microsoft no estuvo disponible de inmediato para hacer comentarios cuando BleepingComputer se puso en contacto con ellos el día de hoy.



Durante los últimos dos años, los administradores de Windows han tenido que lidiar con muchos otros falsos positivos de Microsoft Defender para Endpoint.

Hace casi un año, una ola de alertas de Defender for Endpoint etiquetó las actualizaciones de Office como maliciosas en advertencias que apuntaban al comportamiento de ransomware detectado en los puntos finales de Windows.

Defender ATP también bloqueó la apertura o el lanzamiento de documentos de Office y algunos ejecutables de Office en noviembre de 2021 debido a otro falso positivo  que etiquetó los archivos de las cargas útiles del malware Emotet .

Un mes después, en diciembre de 2021,  mostró por error alertas de "manipulación del sensor"  vinculadas al  escáner Microsoft 365 Defender para procesos Log4j .

Problemas similares de falsos positivos de Defender para Endpoint habían mostrado  alertas de dispositivos de red infectados con Cobalt Strike  y etiquetado  actualizaciones de Chrome como puertas traseras de PHP .

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta