Microsoft создала скрипт для возврата ярлыков, снесенных апдейтом Defender

Microsoft создала скрипт для возврата ярлыков, снесенных апдейтом Defender

Microsoft создала скрипт для возврата ярлыков, снесенных апдейтом Defender

Январское обновление Microsoft Defender оказалось неудачным: у пользователей Windows исчезли иконки приложений с рабочих столов, из меню «Пуск» и Панели задач. Чтобы исправить положение, разработчик откатил изменения, выпустив еще один апдейт, и выложил в паблик PowerShell-скрипт для восстановления быстрого доступа к объектам.

Обновление для Defender, повлекшее удаление ярлыков, вышло на прошлой неделе в рамках первого в этом году «вторника патчей». Оно привнесло изменения в правило ASR (Attack Surface Reduction, сокращение площади атаки), диктующее блокировку вызовов Win32 API из макросов Office, которыми часто злоупотребляют вредоносные программы.

В появлении проблемы, по словам Microsoft, повинна некорректная логика детектирования — допущенные ошибки привели к ложноположительным срабатываниям. Изменения спешно откатили с выпуском набора сигнатур 1.381.2164.0 для Defender.

Параллельно на GitHub был выложен скрипт PowerShell в помощь корпоративным админам, обескураженным потерей быстрого доступа к программам на машинах. Сценарий развертывается в Windows-домене через Intune, запускается с правами ADMIN или SYSTEM, поддерживает восстановление из теневых копий Windows, но в текущей версии (1.1) непригоден для возвращения ярлыков на Панель задач.

С помощью AddShortcuts.ps1 можно автоматически восстановить короткий путь к 42 программам, в том числе Firefox, Chrome, TeamViewer, 7-Zip, Zoom, VLC Player, Jabber, Adobe Acrobat и Photoshop, а также из офисного набора Microsoft. Чтобы добавить продукт в список (приведен на GitHub), достаточно изменить переменную $program.

К сожалению, созданный Microsoft скрипт пока нестабилен. Отказ может случиться даже в тех случаях, когда требуется вернуть ярлык приложений Office.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В магазине аддонов Firefox найдены 40+ фейков, нацеленных на кражу крипты

Неизвестные злоумышленники уже несколько месяцев плодят в магазине аддонов для Firefox вредоносные клоны криптокошельков в надежде заполучить доступ к цифровым активам юзеров, по ошибке загрузивших фальшивку.

Как выяснили в Koi Security, текущая кампания стартовала как минимум в апреле этого года. На настоящий момент обнаружено 44 фейковых Coinbase, MetaMask, Phantom, Exodus, MyMonero, Ethereum Wallet и проч., и они продолжают множиться.

Вредоносный код, встроенный в копии популярных аддонов, заточен под перехват ключей и сид-фраз, открывающих доступ к кошелькам. Отслеживать ввод искомых секретов на сайтах ему помогают слушатели событий input и click.

 

Украденные данные зловред отправляет на свой сервер вместе с IP-адресом жертвы — видимо, для трекинга или целевых атак.

Придать видимость легитимности фальшивкам помогают скопированные с оригинала логотипы и накрутка рейтинга за счет публикации ложных положительных отзывов.

 

В коде опасных находок были обнаружены русскоязычные комментарии. Обо всех выявленных фейках было сообщено в Mozilla; некоторые из них все еще доступны в официальном магазине.

Разработчик Firefox активно борется с подобными фейками и обычно оперативно реагирует на жалобы, блокируя загрузку вредоносных аддонов, просочившихся на его сайт.

В этом году специалисты компании ввели в строй систему упреждающего детектирования криптоскама. Публикуемые аддоны Firefox в автоматическом режиме ранжируются по уровню риска; когда он высок, подключаются специалисты, и по результатам анализа принимается решение о блокировке.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru