Niebieski ekran śmierci po łatce Microsoftu na procesory Intela? To wina antywirusa

O autorze

Adam Golański

@eimi

Hodowca maszyn wirtualnych i psów, poza tym stary linuksiarz, bonvivant i śmieszek. W 2012 roku napisał na DP o algorytmie haszowania Keccak i wciąż pamięta, jak on działa.

Wydana w tym tygodniu przez Microsoft łatka KB4056892 uodparnia Windowsa na atak Meltdown – odczytanie chronionej pamięci kernela przez zwykłą aplikację. Uodpornienie wiąże się jednak z ogromnymi zmianami w architekturze pamięci, nie dziwcie się więc, jeśli po jej zainstalowaniu zobaczyliście niebieski ekran śmierci. Winę w tym wypadku może ponosić program antywirusowy.

Najnowsza łatka wprowadza do Windows 10 wersji 1709 po zastosowaniu łatki rozwiązanie analogiczne do tego, co znamy z Linuksa (KPTI), całkowicie oddzielając od siebie pamięć kernela i pamięć przestrzeni użytkownika. Nosi to nazwę ASLR/VA Isolation, i podobnie jak KPTI dokładnie czyści też bufor TLB (translation lookaside buffer), czyli pamięć podręczną mikroprocesora, w której przechowywane są fragmenty tablicy stron pamięci operacyjnej komputera. Jak to wygląda w praktyce przedstawił ostatnio badacz Alex Ionescu w swoim tweecie:

Windows 17035 Kernel ASLR/VA Isolation In Practice (like Linux KAISER). First screenshot shows how NtCreateFile is not mapped in the kernel region of the user CR3. Second screenshot shows how a 'shadow' kernel trap handler, is (has to be). pic.twitter.com/7PriLIJHe1

— Alex Ionescu (@aionescu) November 14, 2017

Wszyscy ci, którzy pospieszyli się z instalowaniem jak najszybciej tej łatki, wydanej dotąd tylko na najnowsze Windows 10 i Windows Servera, mogą mieć problemy, związane z nieprzeczytaniem wcześniej ostrzeżeń dla wszystkich tych, którzy korzystają z antywirusa innego niż Windows Defender.

Problem wynika z tego, że nagle wiele zachowań antywirusów stało się „nielegalnych” – wywołań bezpośrednio do pamięci kernela Windowsa. Takie zaś wywołania kończą się zwykle niebieskim ekranem śmierci i niemożliwością uruchomienia systemu. Aby uniknąć tej sytuacji, łatka z ASLR/VA Isolation powinna zostać pobrana i zainstalowana tylko na tych komputerach, na których antywirusy zostały wcześniej zaktualizowane i umieściły specjalny wpis w rejestrze. Najwyraźniej nie w każdym wypadku to zadziałało, albo użytkownicy na własną rękę wymusili instalację łatki – a później patrzyli na piękny niebieski ekran.

Jak do tej pory (5 stycznia 2018 roku) takie zmiany wprowadziła już większość popularnych producentów antywirusów – szczegóły znajdziecie w poniższej tabelce.

Producent	Klucz w rejestrze	Wsparcie dla ASLR/VA	Więcej informacji
AVAST	T	T	Forum Avasta
Avira	T	T	Forum Wildersecurity
BitDefender	N	N	Wsparcie BitDefender
ESET	T	T
F-Secure	T	T	Społeczność F-Secure
G-DATA	N	N
Kaspersky	T	T	Wsparcie Kaspersky Lab
Malwarebytes	T	T	Blog Malwarebytes
McAfee	N	T	Baza wiedzy McAfee
Microsoft	T	T
Norton	T	T
Sophos	N	T	Społeczność Sophos
Symantec	T	T	Twitter
Trend Micro	N	T	Wsparcie Trend Micro

Jeśli antywirus nie jest wspierany, lepiej nie ryzykować. Tam jednak, gdzie klucz rejestru nie został jeszcze ustawiony, a producent dał znać, że dostosował swój produkt do zmian w architekturze pamięci Windowsa, można spróbować wymusić instalację KB4056892 ręcznie.

W ten celu należy do Rejestru dodać odpowiedni klucz. Jego lokalizacja to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat, nazwa to cadca5fe-87d3-4b96-b7fb-a231484277cc, typ REG_DWORD a wartość to 0x00000000.