Актуализация на сигурността на Windows 11 може да наруши в някои случаи работата на SAP софтуера (снимка: CC0 Public Domain)
Регулярните актуализации на Windows често причиняват проблеми с функционалността на операционната система и приложния софтуер, които впоследствие Microsoft отстранява, отчитайки оплакванията от потребители. „Традицията” беше спазена с ъпдейта на сигурността на Windows 11 от април, който доведе до проблеми с бизнес софтуера на SAP.
Корекцията на сигурността на Windows 11 може да попречи на работата на SAP GUI – графичното приложение за управление на корпоративния софтуер на немския разработчик SAP, съобщи Windows Latest. Проблемът е причинен от несъвместимост на компонентите за актуализация с някои системи, по-специално със софтуера за информационна сигурност на CrowdStrike – компания, която през лятото на 2024 г. случайно „помогна” за деактивиране на много информационни системи по света.
Отново е замесен CrowdStrike
Списъкът с вече известни проблеми в корекцията KB5055523, която е предназначена за персонални компютри, работещи под Windows 11 версия 24H2 (актуализация на функционалността от октомври 2024 г.), е разширен с нов проблем. Компонентите за актуализиране може да блокират стартирането на инструмента SAP GUI при определени сценарии. В такива случаи програмата се срива без изрично известие за грешка.
Според Windows Latest, това се наблюдава, когато KB5055523 се приложи към система, защитена от софтуера CrowdStrike Falcon Sensor. Анализът на информацията за причините за „срива” на приложението SAP GUI с помощната програма Event Viewer показва, че той се предшества от появата на грешки с кодове 0xc0000409 и 0x000b1c30b в динамичната библиотека Windows ntdll.dll и изпълнимия файл saplogon.exel, зад който се крие SAP GUI.
„SAP GUI за Windows е фронт-енд приложение, което може да се използва за достъп до SAP приложения като SAP ERP, SAP Business Suite и др. То е проектирано за операционната система Windows, предоставя на потребителя интерфейс, подобен на този, използван в Windows, и позволява интеграция с други приложения, базирани на OLE интерфейси или ActiveX контроли”, се казва в ръководството за потребителя на SAP Intelligent RPA Cloud Studio, публикувано на официалния уебсайт на SAP.
Потвърждение, че потребителите може да изпитват трудности, подобни на описаните по-горе, е намерено в секцията със съвети на уебсайта на CrowdStrike. Според публикацията, актуализацията съдържа грешка KB5055523, която причинява конфликт с CrowdStrike Falcon, както и с някои други приложения.
От страна на CrowdStrike Falcon, компонентът „Additional User-Mode Data” (AUMD), който работи във фонов режим и събира информация за поведението на работещи приложения, записва необичайни или потенциално злонамерени действия, предприети от приложения, демонстрира несъвместимост с KB5055523.
Документ от портала за поддръжка на SAP също информира за проблем с внезапното прекратяване на SAP GUI при стартиране, в който причините за възникването му са свързани с неуспешна актуализация KB5055523. Към момента Windows Latest не е получил отговор от представител на Microsoft относно проблема.
Спомен за глобалния срив
CrowdStrike Falcon Sensor е популярна екосистема от услуги за информационна сигурност. Името CrowdStrike стана известно в световен мащаб, дори сред хората, които не са ИТ специалисти, след глобалното прекъсване на Windows услугите през юли 2024 г., което засегна огромен брой различни ИТ системи по света.
Регистрирани бяха сривове на летища, финансови борси и банки; някои телевизионни канали спряха да излъчват; службите за спешна помощ временно загубиха способността да получават обаждания.
Както се оказа по-късно, провалът беше причинен от неуспешна актуализация на CrowdStrike Falcon Sensor, която компанията пусна в навечерието на уикенда и която се оказа способна да изпрати почти всеки компютър с Windows, включително виртуален, в състояние „син екран на смъртта” (BSoD).
Временно решение на проблема
Докато Microsoft, SAP и CrowdStrike са заети да търсят начин да се отърват от проблема, Windows Latest предлага временно решение, което включва ръчно премахване на корекцията KB5055523 чрез командния ред или PowerShell.
Ако обаче актуализацията не причинява други известни проблеми, можете да я оставите и да деактивирате функцията AUMD във Falcon Sensor, вместо да я изтриете.
Корекцията за сигурност KB5055523 адресира множество уязвимости в Windows 11 и Server 2025, включително CVE-2025-29824, която позволява на кибернападателите да получат ескалация на привилегии. Същата „дупка” в сигурността съществува в Windows 10 и има съответна корекция за нея.
Актуализацията KB5055523 от 8 април 2025 г. може да причини също „син екран на смъртта”, да наруши нормалната работа на Windows Hello и да остави след себе си празна папка „inetpub”, чийто външен вид обърка някои потребители.