Am Freitag sind bei uns plötzlich die Programmverknüpfungen aus dem Startmenü oder der Taskleiste verschwunden. Ich möchte hier aufzeigen, was passiert ist und was vielen Administratoren unter anderem als #ASRmageddon in Erinnerung bleiben wird.

1. Hintergrund

Das Thema IT-Sicherheit wird von vielen unterschätzt. In den Medien liest man aber dauernd von erfolgreichen Angriffen mit massiven Auswirkungen, wie letzte Woche von einem Angriff, der zur Pleite eines E-Bike Herstellers führte. Aber auch Bildungsinstitutionen werden vermehrt angegriffen, je nach Quelle sogar überdurchschnittlich.

Microsoft Defender for Endpoint ist die Sicherheitslösung von Microsoft, die „die Unternehmensnetzwerken dabei helfen soll, erweiterte Bedrohungen zu verhindern, zu erkennen, zu untersuchen und auf Sie zu reagieren.“ Mit den Lizenzen von Microsoft, die wir als Schule gelöst haben, haben wir Zugriff auf diese sehr leistungsstarke Sicherheitslösung.

Neben vielen anderen Einstellungen kann man auch sogenannte „Attack surface reduction“ (abgekürzt ASR) Regeln erstellen, um die Angriffsmöglichkeiten weiter einzuschränken. Viele gerade auch grössere Firmen und Schulen weltweit haben so eine Regel im Einsatz.

Am Freitag hat so eine ASR Regel Verknüpfungen im Startmenü Ordner oder an der Taskleiste angepinnte Verknüpfungen fälschlicherweise als Bedrohung erkannt und gelöscht.

2. Ablauf

Am Freitagmorgen habe ich die Warnung selber gesehen und habe auf allen Kanälen Meldungen von unseren Lehrpersonen erhalten, dass Verknüpfungen zu Programmen fehlen.

Nachdem eine erste Internetsuche nichts gebracht hat, musste ich auch die Möglichkeit ins Auge fassen, dass wir von Malware betroffen sind. Dies bedeutet eine riesige Menge an Logdateien durchzuforsten und Meldungen unter Zeitdruck nachzugehen. Ein erster Hinweis hat mich zwar auf die richtige Fährte, aber auf eine falsche Erkennung geführt.

Parallel dazu habe ich weiterhin Twitter und andere Neuigkeiten im Netz beobachtet. Als ich dann erste Meldungen von anderen Betroffenen gelesen habe, konnte ich immerhin ausschliessen, dass nur wir durch einen wirklichen Malwarebefall betroffen waren.

Kurz darauf kamen erste Hinweise auf eine mögliche Lösung und am Nachmittag dann die Bestätigung von einem offiziellen Microsoft Twitteraccount:

Da merkte man dann schnell, dass andere in der gleichen Situation waren 🙂

In der Zwischenzeit war klar, dass es an einem Defender Update lag und Microsoft daran war, das Problem durch ein weiteres Update zu beheben (was in der Zwischenzeit passiert ist). Auch klar und in der Zwischenzeit von Microsoft bestätigt war, das man das Problem stoppen konnte, wenn man die ASR Regel „Block Win32 API calls from Office macros“ von „Block“ auf „Audit“ oder „Off“ stellt, was ich nach den ersten Meldungen schon gemacht hatte.

Somit ist zwar sichergestellt, dass keine weiteren Verknüpfungen mehr verschwinden können, aber die bereits gelöschten sind weg…

3. Lösung

Viele haben ihre eigenen Überlegungen und auch fertige Skripte veröffentlicht, um das Problem zu beheben. Auch Microsoft bietet auf dieser Seite eine Beschreibung des Problems und einen Link auf ein Skript an, um die wichtigsten Verknüpfungen wieder herzustellen.

Leider werden nur wenige Links wieder hergestellt und es hat auch noch einen Fehler in der Lokalisation für nicht englischsprachige Umgebungen. Ich habe das Skript nun um weitere Links von Programmen, die wir einsetzen, ergänzt und den Fehler für deutsche Umgebungen behoben. Nachdem ich die Verteilung auf ein Demogerät getestet habe, wird es nun auf alle unsere Computer verteilt. Leider sind nicht alle Programme abgedeckt, gerade Programme, die neben Windows auch für weitere Plattformen entwickelt wurden (Gimp, Audacity,…) können auf diesem Weg scheinbar nicht wieder hergestellt werden.

Die wieder hergestellten Programme finden sich unter „Start“ -> „Alle Apps“ und können falls gewünscht durch einen Rechtsklick wieder an Start oder an die Taskleiste angeheftet werden.

Wegen den Programmen, die auf diesem Weg noch nicht wieder hergestellt werden konnten, habe ich noch einen Computer ganz neu aufgesetzt und die Verknüpfungen aus dem Startmenü herauskopiert, damit ich sie so wieder auf die betroffenen Computer zurückkopieren kann. Das Ganze ist also nicht ganz ausgestanden…