Niebieski ekran śmierci po łatce Microsoftu na procesory Intela? To wina antywirusa
Wydana w tym tygodniu przez Microsoft łatka KB4056892uodparnia Windowsa na atak Meltdown – odczytanie chronionej pamięcikernela przez zwykłą aplikację. Uodpornienie wiąże się jednak zogromnymi zmianami w architekturze pamięci, nie dziwcie się więc,jeśli po jej zainstalowaniu zobaczyliście niebieski ekran śmierci.Winę w tym wypadku może ponosić program antywirusowy.
Najnowsza łatka wprowadza do Windows 10 wersji 1709 pozastosowaniu łatki rozwiązanie analogiczne do tego, co znamy zLinuksa (KPTI),całkowicie oddzielając od siebie pamięć kernela i pamięćprzestrzeni użytkownika. Nosi to nazwę ASLR/VA Isolation, ipodobnie jak KPTI dokładnie czyści też bufor TLB (translationlookaside buffer), czyli pamięć podręczną mikroprocesora, wktórej przechowywane są fragmenty tablicy stron pamięcioperacyjnej komputera. Jak to wygląda w praktyce przedstawiłostatnio badacz Alex Ionescu w swoim tweecie:
Windows 17035 Kernel ASLR/VA Isolation In Practice (like Linux KAISER). First screenshot shows how NtCreateFile is not mapped in the kernel region of the user CR3. Second screenshot shows how a 'shadow' kernel trap handler, is (has to be). pic.twitter.com/7PriLIJHe1
— Alex Ionescu (@aionescu) November 14, 2017Wszyscy ci, którzy pospieszyli się z instalowaniem jaknajszybciej tej łatki, wydanej dotąd tylko na najnowsze Windows 10i Windows Servera, mogą mieć problemy, związane z nieprzeczytaniemwcześniej ostrzeżeńdla wszystkich tych, którzy korzystają z antywirusa innego niżWindows Defender.
Problem wynika z tego, że nagle wiele zachowań antywirusówstało się „nielegalnych” – wywołań bezpośrednio do pamięcikernela Windowsa. Takie zaś wywołania kończą się zwykleniebieskim ekranem śmierci i niemożliwością uruchomieniasystemu. Aby uniknąć tej sytuacji, łatka z ASLR/VA Isolationpowinna zostać pobrana i zainstalowana tylko na tych komputerach, naktórych antywirusy zostały wcześniej zaktualizowane i umieściłyspecjalny wpis w rejestrze. Najwyraźniej nie w każdym wypadku tozadziałało, albo użytkownicy na własną rękę wymusiliinstalację łatki – a później patrzyli na piękny niebieskiekran.
Jak do tej pory (5 stycznia 2018 roku) takie zmiany wprowadziłajuż większość popularnych producentów antywirusów – szczegółyznajdziecie w poniższej tabelce.
| AVAST | T | T | Forum | Avasta(https://forum.avast.com/index.php?topic=212648.msg1439270#msg1439270) | Avira | T | T | Forum | Wildersecurity(https://www.wilderssecurity.com/threads/bork-tuesday-any-problems-yet.370217/page-147#post-2728947) | BitDefender | N | N | Wsparcie | BitDefender(https://www.bitdefender.com/consumer/support/answer/9033/?icid=overlayccom_all_pagesmicrosoft_security_update_01_2018) | ESET | T | T | \r\n | F-Secure | T | T | Społeczność | F-Secure(https://community.f-secure.com/t5/F-Secure-SAFE/F-Secure-SAFE-and-KB4056892/m-p/103474) | G-DATA | N | N | \r\n | Kaspersky | T | T | Wsparcie | Kaspersky | Lab(https://support.kaspersky.co.uk/14042) | Malwarebytes | T | T | Blog | Malwarebytes(https://blog.malwarebytes.com/security-world/2018/01/meltdown-and-spectre-what-you-need-to-know/) | McAfee | N | T | Baza | wiedzy | McAfee(https://kc.mcafee.com/corporate/index?page=content&id=KB90167) | Microsoft | T | T | \r\n | Norton | T | T | \r\n | Sophos | N | T | Społeczność | Sophos(https://community.sophos.com/kb/en-us/128053) | Symantec | T | T | Twitter(https://pbs.twimg.com/media/DSsRaXBVoAEDpMR.jpg:large) | TrendMicro | N | T | Wsparcie | Trend | Micro(https://success.trendmicro.com/solution/1119183-important-information-for-trend-micro-solutions-and-microsoft-january-2018-security-updates) |
Jeśli antywirus nie jestwspierany, lepiej nie ryzykować. Tam jednak, gdzie klucz rejestrunie został jeszcze ustawiony, a producent dał znać, że dostosowałswój produkt do zmian w architekturze pamięci Windowsa, możnaspróbować wymusić instalację KB4056892 ręcznie.
W ten celu należy do Rejestru dodać odpowiedni klucz. Jegolokalizacja toHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat,nazwa to cadca5fe-87d3-4b96-b7fb-a231484277cc, typ REG_DWORD awartość to 0x00000000.