همانطور که سنت حکم می کند، جمعه 13 روز نسبتاً بدشانسی برای کاربران ویندوز و مدیران سیستم در سراسر جهان بود. بر اساس گزارش های متعدد، جمعه گذشته Microsoft Defender برای Endpoint به یک میانبر و فایل “قاتل” تبدیل شد. در آن روز سرنوشت ساز، مجموعه امنیتی شروع به حذف میانبرهای برنامه از نوار وظیفه ویندوز و منوی استارت کرد، حتی گاهی اوقات فایل های برنامه مرتبط را از دیسک حذف می کرد.
به عنوان یک اقدام کاهشی، شرکت ردموند گفت که مدیران سیستم می توانند با استفاده از Intune یا Group Policy خود ویندوز، رفتار ASR را به “حالت حسابرسی” تغییر دهند. بالاخره یک روز بعد، با قانون ASR جدید که در آپدیت 1.381.2164.0 برای Defender گنجانده شده بود، راه حل قطعی به دست آمد. به گفته مایکروسافت، با این حال، میانبرها و برنامه های حذف شده توسط AV برای همیشه از بین رفتند، زیرا باید دوباره ایجاد یا از ابتدا نصب شوند.
Sysadmin ها کشف کردند، قانون ASR مورد بحث «مسدود کردن تماس های Win32 API از ماکرو Office» است، و پس از اینکه مایکروسافت به روز رسانی امضای 1.381.2140.0 را برای Defender منتشر کرد، این قانون مخدوش شد. در برخی موارد، قانون اصلاح شده سیستم ضد بدافزار را مجبور میکند تا میانبرها را حذف کند و مجموعه بهرهوری آفیس را به طور کلی حذف کند.
علاوه بر آفیس، بسیاری از برنامههای دیگر تحت تأثیر این میانبر و بهروزرسانی فایلها قرار گرفتند، از جمله Google Chrome، Mozilla Firefox، Slack، Visual Studio، Notepad++، Adobe Acrobat و غیره. یک بولتن بعدی از مایکروسافت تأیید کرد که این مشکل در واقع قانون ASR به روز شده “Block Win32 API calls from Office macro” است.
این مشکل توسط چندین سیستم ادمین در ویندوز 10 و ویندوز 11 تجربه شد و علت احتمالی آن به زودی به یک قانون ASR که توسط بهروزرسانی اخیر برای Defender اصلاح شده بود، شناسایی شد. مایکروسافت توضیح میدهد که قوانین کاهش سطح حمله (ASR) برخی رفتارهای نرمافزاری مانند راهاندازی فایلهای اجرایی و اسکریپتها، اجرای اسکریپتهای مبهم یا «انجام رفتارهایی که برنامهها معمولاً در طول کار عادی روزانه انجام نمیدهند» را هدف قرار میدهند.
یک بهروزرسانی دیگر که در Microsoft Community Hub منتشر شد، راهحلی جزئی برای این آخرین مشکل ارائه کرد، با یک اسکریپت PowerShell که برای بازسازی میانبرهای حذف شده برای سی و سه مورد از محبوبترین برنامههای تحت تأثیر این اشکال طراحی شده است. نیازی به گفتن نیست که این اسکریپت برای آن دسته از sysadmin هایی که مجبور شدند برنامه های حذف شده را دوباره نصب کنند یا میانبرهایی را که برای هر کاربر در یک سازمان چند کاربره مستقر شده بودند، دوباره ایجاد کنند، خوشحال نشد.
کف دست: Microsoft Defender باید ویژگیهای امنیتی زیادی را برای شرکتهای مبتنی بر ویندوز و مشتریان خانگی فراهم کند. با این حال، برخی از این ویژگیها علیه کاربران برمیگردند و مدیران سیستم را پشیمان میکنند که جمعه سیزدهم بدشانس است.