2023年1月14日の Microsoft Defender for Endpoint ブログ情報です。
Windows Security や Microsoft Defender for Endpoint で攻撃面の縮小(ASR)ルールを利用していた場合で、セキュリティ インテリジェンス ビルドの 1.381.2134.0 から 1.381.2163.0 に更新した後、「Office マクロからの Win32 API 呼び出しをブロックする」ルールにおいて誤検知が発生した可能性があり、それにより主に Windows ショートカット(.lnk)ファイルが削除されてしまう事象があったようです。
Recovering from Attack Surface Reduction rule shortcut deletions - Microsoft Community Hub
影響のないケース
以下のいずれかであれば、影響はないそうです。
- ASR のブロックモードで「Office マクロからの Win32 API 呼び出しをブロックする」ルールを有効にしていない
- セキュリティ インテリジェンス更新プログラム ビルド 1.381.2134.0、1.381.2140.0、1.381.2152、1.381.2163.0 に更新していない
影響を受けている場合、必要なこと
- セキュリティ インテリジェンス ビルドを 1.381.2164.0 以降に更新する
- 削除されたファイルの回復
削除されたショートカット.lnk を回復する
スタートメニューのリンクを再作成するスクリプトが、上記リンク先のブログの後半に紹介されています。
しかし、すでに多数のコメントが寄せられており、回復については環境によりケースバイケースの場合があるようです。
なお、攻撃面の縮小(ASR)ルールの有効化についての説明は以下です。
Windows 10 Enterprise E5 または E3 ライセンスが必要であり、監査モードからブロックモードにすると ASRルールが有効になります。
攻撃面の減少ルールを有効にする | Microsoft Learn
