近日，Microsoft SQL （MS-SQL） 服务器遭到攻击，因其安全性较差，入侵者进入服务器后直接安装了 Trigona 勒索软件，并加密了所有文件。 入侵者是利用了那些极易被猜到的帐户凭据为突破点，暴力攻击了MS-SQL 服务器，并安装了名为CLR Shell的恶意软件，这次攻击是被韩国网络安全公司AhnLab的安全研究人员发现的。 这种恶意软件专门用于收集系统信息，还可以直接更改那些被入侵的帐户配置。此外，该软件还可以利用Windows辅助登录服务中的漏洞将特权升级到LocalSystem，不过想完成这个操作需要启动勒索软件。AhnLab表示，CLR Shell是一种CLR汇编恶意软件，该软件在接收入侵者的命令后可直接执行恶意入侵行为，运行模式有点类似于web服务器的webshell。 然后入侵者会在下一阶段安装一个恶意软件dropper，用作svcservice.exe服务，继而就能启动Trigona勒索软件，作为svchost.exe。此外，他们还会配置勒索软件二进制文件。在每次系统重新启动时，通过Windows自动运行密钥自动启动，以确保系统在重新启动后仍处于被加密的状态。 在拿到赎金前，这个恶意软件会禁用系统针对Windows卷影副本进行恢复、删除的相关操作，所以要想恢复系统必须要有解密密钥。 Trigona勒索信，图源：BleepingComputer 2022年10月，MalwareHunterTeam首次发现了该恶意软件。在赎金方面，Trigona勒索软件仅接受门罗币加密货币。 Trigona会加密受害者设备上的所有文件，除了特定文件夹中的文件，包括Windows和Program files目录。该软件通过添加“._locked”为扩展名，以重命名加密文件，并在每个被锁定的文件中嵌入加密的解密密钥、活动ID和受害者ID(公司名称)。在进行这些加密操作之前，该团伙还声称已经窃取到了一些敏感文件，并且表示这些文件将被放到暗网上。 该软件还会创建名为“how_to_decrypt”的赎金笔记。每个文件夹中都包含一些入侵系统的信息，比如Trigona Tor协商网站的访问链接，以及包含登录协商网站所需的授权密钥。 Trigona样本提交（ID勒索软件） 自今年年初以来，Trigona勒索软件团伙已经发起了多次攻击事件。据统计，仅向ID勒索软件平台发起的攻击事件至少有190起。   转自 Freebuf，原文链接：https://www.freebuf.com/news/364194.html 封面来源于网络，如有侵权请联系删除

微软在其安全工具箱中增加了另一种由人工智能驱动的装备，今天宣布微软安全领航员（Security Copilot）处于内部预览阶段。旨在让安全专业人员”看到他们环境中正在发生的事情，从现有的情报中学习，关联威胁活动，并以机器的速度做出更明智、高效的决定”。 据微软描述，Security Copilot在Azure的超大规模架构上运行，它将OpenAI的GPT4提供的大语言模型与微软建立的安全特定模型相结合，以提供”企业级的安全和符合隐私的体验”。 当Security Copilot收到安全专业人员的提示时，它就会利用安全专用模型的全部力量来部署技能和查询，从而最大限度地发挥最新大型语言模型能力的价值。而这对于一个安全用例来说是独一无二的，新的网络训练模型增加了一个学习系统来创建和调整新的技能。然后，Security Copilot可以帮助捕捉其他方法可能错过的东西，并增强分析员的工作。在一个典型的事件中，这种提升可以转化为检测质量、响应速度和加强安全态势的能力方面的收益。 安全领航员并不总是能做对所有事情，AI生成的策略可能包含纰漏甚至错误。但Security Copilot是一个闭环学习系统，这意味着它在不断地向用户学习，并通过直接内置在工具中的反馈功能给他们提供明确的反馈。随着我们不断从这些互动中学习，我们正在调整它的反应，以创造更连贯、相关和有用的答案。 Security Copilot将与微软的安全产品整合，并随着时间的推移，将扩展到包括”一个不断增长的生态系统”的第三方产品。 你可以在Introducing Microsoft Security Copilot网站上了解更多关于Microsoft Security Copilot的信息并观看演示： https://www.microsoft.com/en-us/security/business/ai-machine-learning/microsoft-security-copilot 转自 cnBeta，原文链接：https://www.toutiao.com/article/7215630094189101580/ 封面来源于网络，如有侵权请联系删除

Dark Reading 网站披露，微软修复了 Outlook 中存在的零日漏洞，漏洞被追踪为 CVE-2023-23397，是一个权限提升漏洞，攻击者可以利用该漏洞访问受害者的 Net-NTLMv2 响应身份验证哈希并冒充用户。安全研究人员警告称 CVE-2023-23397 非常危险，有望成为近期影响最深远的漏洞。 CVE-2023-23397 漏洞由乌克兰计算机应急响应小组（CERT）的研究人员和微软一名研究人员发现，本周早些时候微软已经进行了补丁更新。 攻击者能够轻松利用漏洞 一旦攻击者成功利用 CVE-2023-23397 漏洞，便可通过向受害者发送恶意 Outlook 邮件或任务来窃取 NTLM 身份验证哈希。当 Outlook 客户端检索和处理这些邮件时，这些邮件会自动触发攻击，可能会在预览窗格中查看电子邮件之前导致攻击。换句话说，目标实际上不必打开电子邮件就成为攻击的受害者。 据悉，漏洞主要影响运行 Exchange 服务器和 Outlook for Windows 桌面客户端的用户，Outlook for Android、iOS、Mac 和 Outlook for Web（OWA）等均不受影响。 OcamSec 创始人兼首席执行官 Mark Stamford 表示，潜在的攻击者可以发送特制的电子邮件，使受害者与攻击者控制的外部 UNC 位置建立连接，这将使得攻击者获得受害者的 Net-NTLMv2 哈希，然后攻击者将其转发给另一个服务并作为受害者进行身份验证。 漏洞存在的一系列潜在影响 Foretrace 创始人兼首席执行官 Nick Ascoli 指出，微软并没有提及网络犯罪分子如何利用 CVE-2023-23397 漏洞，但根据研究来看，通过该漏洞，攻击者可以不断重复使用被盗的身份验证，最终成功盗取数据或安装恶意软件。 Viakoo 首席执行官 Bud Broomhead 表示，一些最容易受到商业电子邮件泄露的人可能是潜在受害者。此外， Broomhead 警告称，一旦漏洞被成功利用，会带来核心 IT 系统被破坏、分发大量恶意软件、以及业务运营和业务连续性中断等安全风险。 CVE-2023-23397 影响巨大 值得一提的是，Broomhead 表示虽然微软可能每个时期都会出现一些安全漏洞，但 CVE-2023-23397 漏洞无疑是一个有力的“竞争者”。该漏洞几乎影响到所有类型和规模的实体组织，对员工进行培训并不能减缓漏洞带来的影响，所以这可能是一个需要付出更大努力来缓解和补救的漏洞。 Hornetsecurity 首席执行官 Daniel Hofmann 也一直在强调 CVE-2023-23397 漏洞可能带来巨大危害，毕竟该漏洞已经公开，而且概念验证的说明已有详细记录，其它威胁攻击者可能会在恶意软件活动中采用该漏洞，并针对更广泛的受众。总的来说，利用该漏洞非常简单，在 GitHub 和其它开放论坛上已经可以找到公开的概念证明。 如何防范 CVE-2023-23397 对于无法立即进行漏洞修补的用户，Hofmann 建议管理员应该使用外围防火墙、本地防火墙和 VPN 设置来阻止 TCP 445/SMB 从网络到互联网的出站流量。这一操作可以防止 NTLM 身份验证消息传输到远程文件共享，有助于解决 CVE-2023-23397 问题。 此外 组织还应将用户添加到 Active Directory 中的“受保护用户安全组”，以防止 NTLM 作为身份验证机制，与其它禁用 NTLM 的方法相比，这种方法简化了故障排除，对高价值的帐户特别有用。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361030.html 封面来源于网络，如有侵权请联系删除

一份最新报告显示，有黑客正出于经济动机利用微软SmartScreen安全功能中的零日漏洞，用以传播Magniber勒索软件。 谷歌威胁分析小组（TAG，下文简称谷歌小组）的研究人员表示，自2022年12月以来，恶意黑客就已经能够利用SmartScreen中的零日漏洞。谷歌小组在2月15日向微软报告了相关发现及勒索软件团伙的利用行为。微软在3月14日（3月补丁日）发布针对该漏洞（CVE-2023-24880）的修复补丁。 SmartScreen旨在捕捉网络钓鱼企图和恶意软件，属于Windows 10/11以及微软Edge网络浏览器的组成部分。微软公司发言人表示，客户只要安装最新补丁即可获得保护。 谷歌小组指出，自2023年1月以来，他们发现勒索软件活动中使用的恶意msi文件已被下载超10万次，其中80%的下载量来自欧洲用户。msi文件类似于我们熟悉的.exe文件，二者都可用于安装和启动Windows程序。 研究人员提到，Magniber勒索软件常被用于针对韩国和中国台湾地区的组织。大约六年前，就有网络安全企业对其展开跟踪。 图：Magniber受害者来源分布 SmartScreen多次爆出零日漏洞 谷歌小组的发现，是Magniber恶意黑客在过去半年里，第二次利用零日漏洞规避SmartScreen检测，并诱导计算机用户从受感染的网站处下载经过伪装的勒索软件。 谷歌小组的这次研究建立在此前惠普安全专家的工作上。2022年10月，惠普公司发现Magniber在攻击中利用CVE-2022-44698漏洞，这是另一个影响SmartScreen的独立漏洞。并且在2022年12月微软为该漏洞发布补丁之前，还有其他黑客曾经利用这个漏洞。 当时，Magniber恶意黑客使用带有错误签名的JScript文件强制令SmartScreen返回错误，最终允许黑客绕过安全警告并传播恶意软件。 在微软封锁这条路径后，Magniber团伙又找到了另一种类似方法来破坏SmartScreen。 谷歌小组发现，受感染的MSI文件会致使SmartScreen出现与之前使用JScript文件时相同的反应：Microsoft功能返回错误，允许攻击者绕过安全警告。新方法针对的是SmartScreen中的一个对话框，它会在文件运行与Mark-of-the-Web（MOtW）发生冲突时弹出，属于浏览器中的恶意文件防范功能。 微软频繁发补丁，但修复一直不完全 谷歌小组指出，“由于SmartScreen安全绕过背后的根本原因没有得到解决，所以恶意黑客能够迅速发现原始漏洞的不同变体。”微软应该“正确且全面地”解决这类问题。 “此前Project Zero就已经发现，这类安全绕过正成为网络攻击的新趋势。厂商虽然频繁发布针对性补丁，但由于修复范围不足，导致恶意黑客仍有机会迭代并发现新的攻击变种。在安全修复当中，狭义层面的可靠修复与问题根本原因难以彻底解决之间已经形成了尖锐矛盾。” Magniber勒索软件于2018年底被首次发现，在韩国活跃多年，后又蔓延至中国台湾。 此前，Magniber恶意团伙还曾利用其他几个微软漏洞开展攻击，包括CVE_2022-41091（同样属于MotW漏洞）以及臭名昭著的PrintNightmare漏洞CVE-2021-34527。 至少自2018年起，Magniber团伙就已经在使用Magnitude漏洞利用工具包（可通过浏览器漏洞感染用户Web应用程序）来分发恶意载荷。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/NHYkI6AIGJrqbPLYwGXI6g 封面来源于网络，如有侵权请联系删除

近日，安全专家建议IT团队应优先修补两个零日漏洞，一个是微软Outlook的认证机制，另一个是web标记的绕过。这两个漏洞是微软在其3月补丁星期二安全更新中披露的74个安全漏洞的一部分。 在一篇博文中，Automox的研究人员建议企业在24小时内修补这两个漏洞，因为攻击者正在野外利用它们。此外，3月更新中的几个关键漏洞能够实现远程代码执行（RCE），因此它们也是需要高度优先修补的。 特权升级零日 其中一个零日是微软Outlook中的一个关键的权限升级漏洞，被追踪为CVE-2023-23397，它允许攻击者访问受害者的Net-NTLMv2挑战-回应认证哈希，然后冒充用户。 该漏洞的危险之处在于，攻击者只需发送一封特制的电子邮件，在用户在预览窗口中查看该邮件之前，Outlook就会检索并处理该邮件。 Tenable公司的高级研究工程师评论说：这是因为该漏洞是在电子邮件服务器端触发的，这意味着在受害者查看恶意邮件之前就会被利用。攻击者可以使用受害者的Net-NLMv2哈希值进行攻击，利用NTLM挑战-响应机制，让对手以用户身份进行认证。 ZDI研究员在博文中补充说，这使得该漏洞更像是一个认证绕过漏洞，而不是一个权限升级问题。而且，禁用预览窗口选项并不能减轻威胁，因为该漏洞甚至在这之前就已经被触发了。 安全绕过零日 微软将第二个零日漏洞确定为CVE-2023-248，这是一个Windows SmartScreen安全功能绕过问题，攻击者可以利用它绕过微软用来识别用户可能从互联网上下载的文件的Mark of the Web指定。 CVE-2023-248 影响到所有运行Windows 10及以上版本的桌面系统和运行Windows Server 2016、2019和2022的系统。 Goettl在一份声明中说：CVSSv3.1的得分虽然只有5.4，这可能不会引起太多企业的注意。确实，就其本身而言，CVE可能没有那么大的威胁，但它很可能被用在一个有其他漏洞的攻击链中。 其他安全漏洞 需要特别注意的一个RCE漏洞是CVE-2023-23415，它存在于网络设备用来诊断通信问题的互联网控制消息协议（ICMP）中。 微软表示：攻击者可以通过使用一个低级别的协议错误来远程利用这个漏洞，该错误在其标题中包含一个碎片化的IP数据包，被发送到目标机器上。该漏洞影响到多个微软产品，包括Windows 10、Windows 11、Windows Server 2008、2012、2016、2019和2022。 Automox还建议企业在72小时内解决CVE-2023-23416，即Windows加密服务协议中的一个RCE漏洞。这是因为，除其他外，它影响到所有版本的台式机Windows 10及以上，以及从Server 2012开始的所有Windows服务器版本。 除了新漏洞的补丁，微软还在3月的补丁周期中发布了四个之前漏洞的更新，全部来自2022年。Ivanti说，这次更新扩大了受漏洞影响的微软软件和应用程序的数量，并为它们提供了补丁。该安全厂商将这四个更新补丁列为CVE-2022-43552，CVE-2022-23257，CVE-2022-23825，以及CVE-2022-23816。     转自 Freebuf，原文链接：https://www.freebuf.com/news/360485.html 封面来源于网络，如有侵权请联系删除  

中国跨境电商应用Shein的一个版本在谷歌Play商店中的下载量已超1亿次。但研究发现该软件会对Android设备的剪贴板进行非必要访问，并将内容传输至远程服务器，从而引发安全问题。 在3月6日发布的博文中，微软研究人员表示他们发现的问题存在于2021年12月16日发布的Shein 7.9.2版本，并确认问题已经在2022年5月得到解决。用户只要更新已安装应用，即可防止潜在的恶意攻击。 剪贴板已经成为网络攻击中备受关注的目标，移动用户经常通过剪贴板来复制和粘贴敏感信息，例如登录凭证、财务数据及个人信息。恶意黑客可以窃取剪贴板数据，进而发动钓鱼攻击、密码窃取或实施其他欺诈活动。甚至有攻击者会篡改剪贴板内容以开展恶意活动，例如修改剪贴板内的加密货币钱包地址，导致用户向钱包应用中粘贴的内容发生变化。 微软表示，他们无法断言Shein事件是否存在恶意意图，但表示该应用没有必要访问剪贴板。外媒SC Media已经就此事向Shein发出置评请求。 微软指出，“即使Shein复制剪贴板的行为不存在恶意，此事也凸显出已安装的应用可能带来的风险，包括那些极受欢迎、从官方应用商店下载的手机软件。” 微软安全检测并验证了Shein的剪贴板操作，方法是对该应用执行静态分析以查找“对应此项操作的代码”，之后再通过动态分析“在检测环境中运行该应用，进一步观察代码行为”。 图：Shein应用中导致剪贴板访问的调用链示例。   根据微软的研究结果等，谷歌意识到涉及剪贴板的潜在威胁，并做出以下调整以保护Android平台。 在Android 10及更高版本中，除非在默认输入法编辑器内明确设置，否则应用无法访问剪贴板数据。 在Android 12及更高版本中，当应用首次调用并访问来自其他应用的剪贴数据时，会有提示消息向用户报告这一访问行为。 在Android 13中，剪贴板内容会在一段时间后被清除，借此加强保护。     转自 安全内参，原文链接：https://www.secrss.com/articles/52651 封面来源于网络，如有侵权请联系删除

周一晚间，据微软总部所在地华盛顿州雷德蒙市报道：北美及其他地区的用户无法访问某些服务，包括 Outlook.com 网络邮件。这一故障一直持续到星期二。 随后，微软在Office.com服务状态页面写道：”位于北美地区的用户试图访问Outlook.com，可能无法发送、接收或搜索电子邮件。其他功能，如 Microsoft Teams 等其他服务所使用的日历也会受到影响。 众包网站和服务中断报告的Downdetector网站显示，从世界标准时间凌晨 3 点 24 分开始，用户报告 Outlook 问题的数量激增。 这次故障似乎只影响到微软以消费者为中心的服务。Outlook.com是其免费的网络邮件服务，以前称为Hotmail，与Outlook for Web和OWA不同，后者是以企业为中心的网络邮件。 微软表示，“Microsoft Teams 等其他服务使用的 Outlook.com 功能（例如日历 API）也受到影响。” 这似乎只是对其消费者版本的 Teams 的引用。 微软上一次遭受重大故障是在13天前，当时其内部团队所做的 “广域网络路由变更 “导致微软365用户的全球中断。具体来说，许多Azure云服务变得无法访问，包括Outlook、Microsoft Teams、SharePoint Online、OneDrive for Business等（见：Microsoft 365云服务中断扰乱了全球用户）。 Outlook的访问和服务问题 微软周二凌晨4点04分（UTC）首次确认其最新的故障，20分钟后发推文表示“正在调查Outlook的访问和服务问题”。 此后不久，微软表示此次故障与最近更改的服务器有关，并开始 “有针对性地重新启动基础设施中受最近变化影响的部分”，以尝试解决这个问题。 微软在UTC上午6点46分发布推文”我们的目标资源正在取得进展，我们在一些环境中看到了轻微的改善，”。另外，我们正在寻找其他方式，以加快解决。 此次故障不仅涉及北美的基础设施，在全球范围内仍然可以看到中断现象。对此，微软在报告中解释道：”由于北美基础设施的受影响部分，北美以外其他地区的用户可能会经历一些残余的影响”。 随后，随着微软继续重新启动许多系统一些受影响地区的用户逐渐得到改善。” 截至UTC上午9:37，微软报告称，服务尚未完全恢复。”我们正在对受影响的基础设施的一个子集应用有针对性的缓解措施，并验证它已经减轻了影响。我们还在进行流量优化工作，以减轻用户的影响，并加快恢复”。 服务恢复 周二晚些时候，微软报告说，在问题开始约12小时后，问题已基本得到解决。微软说：”我们可以从遥测数据中看到，大部分影响已经得到补救，服务可用性达到99.9%。”我们正在继续监测环境，并对显示有残留影响的后端邮箱组件进行有针对性的重新启动，以确保所有用户的恢复。”     转自 Freebuf，原文链接：https://www.freebuf.com/news/356918.html 封面来源于网络，如有侵权请联系删除  

1月31日，微软透露其安全团队Redmond正在跟踪 100 多个在攻击期间部署勒索软件的攻击者，总共监控到 50 多个在去年被频繁使用的勒索软件系列。 微软例举了一些最突出的勒索软件有效负载，包括Lockbit Black、BlackCat（又名 ALPHV）、Play、Vice Society、Black Basta 和 Royal。但微软表示“防御策略应该更少地关注有效负载，而更多地关注导致其部署的活动链”，因为勒索软件仍在针对那些不常见漏洞或最近正需要修补漏洞的设备进行攻击。 攻击策略 虽然一直有新的勒索软件系列出现，但大多攻击者在破坏网络和通过网络传播时都使用相同的策略，对此类行为进行检测将有助于阻止他们的攻击。 微软也提到，攻击者越来越依赖网络钓鱼以外的策略来进行攻击，比如利用 Exchange Server 的DEV-0671 和 DEV-0882漏洞部署 Cuba 和 Play 勒索软件。就在不久前，Exchange 团队敦促客户通过应用最新支持的累积更新 (CU) 来为本地 Exchange 服务器打补丁，让他们随时准备部署紧急安全更新。据报道，超过 60000 台暴露在 Internet 上的 Exchange 服务器容易受到利用ProxyNotShell RCE 漏洞的攻击。与此同时， 也有数千台服务器正受到利用ProxyShell 和 ProxyLogon 漏洞攻击的风险，这是2021年最常被利用的两个安全漏洞。 其他攻击者也正在转向或使用恶意广告来提供恶意软件加载器和下载器，以传播勒索软件和各种其他恶意软件变种，如信息窃取程序。例如，一个被追踪为 DEV-0569 的攻击者被认为是勒索软件团伙的初始访问代理，在广告活动中滥用 Google Ads来分发恶意软件，从受感染的设备中窃取密码，并最终获得对企业网络的访问权限，并将权限出售给其他攻击者，如Royal 勒索软件组织。 近期活动趋势 在具体的勒索软件活动趋势中，2022年的一起标志性事件是Conti勒索软件组织在执法行动的压力下迎来终结，但基于勒索软件即服务 (Raas) 的勒索行为正在兴起，包括LockBit、Hive、Cuba、BlackCat 和 Ragnar在内的勒索软件组织在去年频繁作案。 尽管如此，  根据区块链分析公司 Chainalysis 的数据，勒索软件组织去年的勒索收入大幅下降了 40% 左右，为4.568 亿美元，而前年的收入达到了创纪录的 7.65 亿美元。但这种下降趋势并不是因为攻击次数减少，而是因为越来越多的受害者开始拒绝支付勒索赎金。 最近，在美国司法部、联邦调查局、特勤局和欧洲刑警组织的国际执法行动的打击下，Hive 勒索软件数据泄露和 Tor 支付暗网被查封，FBI向受害者分发了 1300 多个解密密钥，并获得了对 Hive 通信记录、恶意软件文件哈希值和 250 个 Hive 分支机构详细信息的访问权限，美国国务院也悬赏1000万美元，寻求 Hive 勒索软件组织或其他攻击者与外国政府存在联系的线索。 某种程度上说，在打击勒索软件领域，2023年似乎迎来了开门红。     转自 Freebuf，原文链接：https://www.freebuf.com/news/356171.html 封面来源于网络，如有侵权请联系删除  

据The Hacker News消息，微软正敦促客户更新他们的 Exchange 服务器，并采取措施加强环境，例如启用Windows 扩展保护和配置基于证书的 PowerShell 序列化有效负载签名。 微软 Exchange团队表示，未打补丁的本地 Exchange 环境通常会被攻击者盯上，进行包括数据泄露等方面在内的各种恶意攻击，并强调，微软发布的缓解措施只是权宜之计，可能不足以抵御各种攻击，用户必须安装必要的安全更新来保护服务器。 近年来， Exchange Server 已被证明是一种十分有利可图的攻击媒介，其中的许多安全漏洞曾被用做零日攻击。仅在过去两年中，就在 Exchange Server 中发现了包括ProxyLogon、ProxyOracle、ProxyShell、ProxyToken、ProxyNotShell和称为OWASSRF ProxyNotShell 缓解绕过在内的几组漏洞，其中一些已在野外受到广泛利用。 在近期由Bitdefender 发布的技术咨询中，记录了自 2022 年 11 月下旬以来涉及 ProxyNotShell / OWASSRF 漏洞利用链的一些攻击手法，通过服务器端请求伪造 ( SSRF) 攻击，能让攻击者从易受攻击的服务器向其他服务器发送精心设计的恶意请求，以访问无法直接获取的资源或信息。这些漏洞武器化的攻击被用来针对奥地利、科威特、波兰、土耳其、美国的艺术娱乐、咨询、法律、制造、房地产和批发行业。 据称，虽然大多数攻击不是集中和有针对性的，但仍会被尝试部署 Web shell 和远程监控和管理 (RMM) 软件，例如 ConnectWise Control 和 GoTo Resolve。Web shell 不仅提供持久的远程访问机制，还允许攻击者进行范围广泛的后续活动，甚至将访问权出售给其他黑客组织以牟利。   转自 Freebuf，原文链接：https://www.freebuf.com/articles/356003.html 封面来源于网络，如有侵权请联系删除

如果你本周上班打开电脑发现任务栏和开始菜单中常用的Windows程序快捷方式都不见了，不要惊慌，这只是微软的又一次安全更新导致的“乌龙事件”。 上周五，微软发布了Microsoft Defender签名更新，其中包括对攻击面减少（ASR）规则的更改，该规则在配置管理器中名为“阻止来自Office宏的Win32 API调用”，在Intune中则是“从Office宏代码导入Win32”。 总之，这个新规则能检测并阻止恶意软件使用VBA宏调用Win32 API。 但是很快，这个新规则就产生了严重的“副作用”，Windows自带的杀毒软件Defender开始不断误报，并从桌面、开始菜单和Windows任务栏中大量删除程序快捷方式（图标）。 快捷方式的“不翼而飞”在大量企业用户中引发混乱，企业环境普遍中断，用户无法快速启动其应用程序，Windows管理员们则手忙脚乱地为员工恢复快捷方式。 很快，微软紧急恢复了签名更新1.381.2164.0中的更改，但警告管理员，最新的签名可能需要数小时才能分发到所有环境。 微软发布PowerShell脚本批量修复快捷方式 周六早上，微软紧急发布了高级搜寻查询，以查找受影响的程序快捷方式，并发布了一个PowerShell脚本，为被影响最为严重的33个应用程序重建快捷方式。 如果您的企业也不幸中招，可以尝试微软发布在GitHub上的这个PowerShell脚本(链接在文末)，可为以下33个应用程序重建快捷方式： 该脚本将扫描HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\注册表项，以检查计算机上是否安装了上述可批量恢复快捷方式的33个程序。 然后，脚本将检查“开始”菜单中是否存在相应的快捷方式，如果没有，则重新创建。 如果你需要恢复快捷方式的程序不在上面这个列表里，可以修改PowerShell脚本中$programs数组添加其他应用程序。 Microsoft还发布了用Intune将此脚本部署到 Windows域设备的步骤。 对于那些希望手动重建快捷方式的人，Microsoft共享了以下步骤来修复程序： 修复Windows 10中的应用程序： 1. 选择“开始” >“设置”>“应用”>“应用和功能”。 2. 选择要修复的应用。 3. 选择应用名称下的“修改链接”（如果可用）。 4. 将启动一个新页面，并允许您选择修复。 修复Windows 11中的应用程序： 1. 在搜索栏中输入“已安装的应用程序”。 2. 单击“已安装的应用程序”。 3. 选择要修复的应用。 4. 点击“…”。 5. 选择“修改”或“高级选项”（如果可用）。 6. 将启动一个新页面，并允许您选择修复。 需要注意的是，上述方法花费更长的时间，因为在大多数情况下，它将重新安装整个程序。而且，并非所有应用程序都提供修复功能。 修复方案并不完美 虽然微软发布的PowerShell脚本能方便用户为部分应用程序重新创建快捷方式，但Windows管理员普遍反映该脚本存在很多弊端。 首先，该脚本默认只修复33个程序的快捷方式，不会为计算机上常用的大量其他应用程序重新创建快捷方式。 更为夸张的是，即便是微软Office这样的“亲儿子”程序，也没能搭上车。 一位Windows管理员抱怨说：“不幸的是，这个脚本不会恢复在用户端部署的微软Office快捷方式，这也是大多数365C2R的安装方式，同时也是通过Intune部署的M365的默认安装方式。很遗憾脚本并未提供支持。” 还有Windows管理员评论说，该脚本仅能在“开始”菜单中重新创建快捷方式，但无法恢复从Windows任务栏、快速启动工具栏或Windows桌面中删除的快捷方式。 另一位管理员则建议，用户其实可以通过从卷影副本中检索开始菜单、快速启动栏和桌面快捷方式来恢复它们。 用户还可以使用Shadow Explorer或ShadowCopyView等工具来检查快捷方式是否保存在以前的快照中，然后只需简单地将它们复制回系统驱动器。 对于拥有许多设备的用户，也可以尝试使用PowerShell从卷影副本中检查和恢复文件。 总体而言，微软本次安全更新的“乌龙事件”给大量Windows管理员和IT技术支持人员造成了巨大的混乱，他们面临手动重新创建快捷方式的繁琐任务。   转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/Qfv_fpOwToU0dNsKeWwp-A 封面来源于网络，如有侵权请联系删除