Apr15201315 Aprile 201327 Gennaio 20140Commentidi Ermanno Goletto

KB2823324 e BSOD0xc000021a o EventID 55

Pubblicato in IT, Security, Tips

Lo scorso 9 Aprile 2013 è stato rilasciato con il bollettino di sicurezza MS13-036 l’aggiornamento KB2823324 che contiene un aggiornamento di sicurezza per il driver di sistema in Kernel-Mode ntfs.sys.

L’aggiornamento riguarda Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 e va a chiudere alcune vulnerabilità tra cui una divulgata pubblicamente che potrebbe consentire a codice malevolo l’acquisizione di privilegi elevati. Per dettagli si veda Bollettino Microsoft sulla sicurezza MS13-036 – Importante.

Pare però che su alcuni computer Windows 7 questo aggiornamento abbia causato reboot del sistema o problemi con applicazioni come indicato nella sezione Known issues del MS13-036: Description of the security update for the Windows file system kernel-mode driver (ntfs.sys): April 9, 2013:

“Microsoft is investigating behavior wherein systems may fail to recover from a reboot or applications fails to load after security update 2823324 is applied. Microsoft recommends that customers uninstall this update. As an added precaution, Microsoft has removed the download links to the 2823324 update while we investigate.”

Come si può leggere al moneto in presenza di tali problemi il consiglio è di disinstallare tale aggiornamento inoltre come si può leggere al seguente You receive an Event ID 55 or a 0xc000021a Stop error in Windows 7 after you install security update 2823324 al momento l’aggiornamento è stato rimosso come precauzione:

“Microsoft is investigating behavior where systems may not recover from a restart, or applications cannot load, after security update 2823324 is applied. We recommend that customers uninstall this update. As an added precaution, Microsoft has removed the download links to the 2823324 update while we investigate.”

Sempre dal You receive an Event ID 55 or a 0xc000021a Stop error in Windows 7 after you install security update 2823324 vengono riportati una serie di possibili problemi che si possono verificare con questo aggiornamento:

  • Evento di errore Event Type: Error, Event Source: Ntfs, Event Category: Disk, Event ID: 55 con Description: The file system structure on the disk is corrupt and unusable. Please run the Chkdsk utility on the volume …
  • STOP: c000021a {Fatal System Error}
    The Session Manager Initialization system process terminated unexpectedly with a status of 0xC000003a (0x00000000 0x00000000).
    The system has shutdown.
  • Kaspersky Anti-Virus per Windows Workstations o Kaspersky Anti-Virus per Windows Servers versions 6.0.4.1424 e 6.0.4.1611 potrebbe restituire un errore di licenza non valida e smettere di funzionare

Su computer che hanno installato l’aggiornamento e non si sono ancora riavviato, quindi non hanno manifestato problemi, è possibile rimuovere l’aggiornamento tramite Pannello di Controllo disinstallando il Security Update for Microsoft Windows (KB2823324) in alternativa è possibile usare il comando:

wusa.exe /uninstall /kb:2823324 /quiet /norestart

Oppure è anche possibile utilizzare Psexect per eseguire remotamente la disinstallazione:

Psexec -d -s \\remotemachine wusa.exe /uninstall /kb:2823324 /quiet /norestart

Per il computer che non si avviano più dopo aver installato l’aggiornamento è possibile avviare il computer e premere F8 per eseguire Repair your Computer ed utilizzare uno dei seguenti metodi:

  • Eseguire il ripristino dell’ultimo Restore Point
  • Disinstallare il security update 2823324 tramite command prompt

Per i dettagli si veda You receive an Event ID 55 or a 0xc000021a Stop error in Windows 7 after you install security update 2823324 sezione Resolution.

Nel caso nell’infrastruttura si utilizzi WSUS al momento conviene non autorizzare questo security update che per il momento non è impostato come critico, ma come Moderato quindi dal momento che normalmente si approvano automaticamente solo aggiornamenti Critici e di Sicurezza in generale non si dovrebbero avere problemi.

Inoltre il fatto che il security update sia classificato come Moderato implica che l’attaccante deve avere fisicamente accesso al computer per poter sfruttare la vulnerabilità.

image

Secondo quanto riportato in questo articolo Windows ha un aggiornamento da schermata blu pubblicato su tom’s HARDWARE sembra la maggior parte dei computer colpiti dal problema siano soprattutto in Brasile.

Inoltre nel seguente KB2839011 Released to Address Security Bulletin Update Issue viene riportato che il problema sembra sia originato da un’ software di terze parti su cui si sta investigando e che comunque l’issue non genera perdita di dati:

“We’ve determined that the update, when paired with certain third-party software, can cause system errors”

“Contrary to some reports, the system errors do not result in any data loss nor affect all Windows customers”

[Update 01]

Il 23 Aprile 2013 è stato rilasciato un aggiornamento per il bollettino MS13-036 in cui l’aggiornamento 2823324 è stato sostituto con il 2840149:

V3.0 (23 aprile 2013): è stato rilasciato nuovamente il bollettino per sostituire l’aggiornamento 2823324 con il 2840149 per NTFS.sys nell’installazione sulle edizioni supportate di Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.”

Per maggiori informazioni si vedano le FAQ del bollettino e in particolare:

Perché questo bollettino è stato rivisto il 23 aprile 2013? Cosa è accaduto all’aggiornamento per la protezione originale, 2823324?  
Per risolvere alcuni problemi noti relativi all’aggiornamento per la protezione 2823324, Microsoft ha rilasciato nuovamente il bollettino MS13-036 per sostituire l’aggiornamento 2823324 con il 2840149 per NTFS.sys nell’installazione su tutte le versioni interessate di Microsoft Windows. L’aggiornamento per la protezione 2823324 è scaduto l’11 aprile 2013. Microsoft raccomanda ai clienti che dispongono dell’aggiornamento 2823324 di eseguirne la disinstallazione prima di applicare l’aggiornamento 2840149. Tutti i clienti dovrebbero applicare l’aggiornamento 2840149, che sostituisce il 2823324 scaduto.”

È stato installato con esito positivo l’aggiornamento per la protezione 2823324 originale e non vengono riscontrati problemi. È necessario applicare il nuovo aggiornamento del 23 aprile 2013 (2840149)?  
Sì. L’11 aprile 2013, Microsoft ha segnalato ai propri clienti di disinstallare l’aggiornamento per la protezione 2823324 e ha sospeso i pacchetti associati. Nel caso in cui i clienti non abbiano disinstallato l’aggiornamento originale, si consiglia di applicare il nuovo aggiornamento (2840149), che sostituisce l’aggiornamento 2823324 scaduto. Non è necessario disinstallare l’aggiornamento 2823324 scaduto prima di applicare il 2840149; tuttavia, è fortemente consigliato da Microsoft. I clienti che non rimuovono l’aggiornamento scaduto manterranno la voce 2823324 tra gli aggiornamenti installati del Pannello di controllo.

“L’aggiornamento per la protezione 2823324 originale è stato disinstallato. È necessario applicare il nuovo aggiornamento del 23 aprile 2013 (2840149)?  
Sì. Per essere protetti da CVE-2013-1293, tutti i clienti devono applicare il nuovo aggiornamento (2840149), che sostituisce l’aggiornamento 2823324 scaduto.

“Cosa fare in caso di problemi durante il riavvio del sistema dopo l’installazione dell’aggiornamento per la protezione 2823324?
Per fornire assistenza ai clienti che riscontrano dei problemi durante il riavvio del sistema dopo l’installazione dell’aggiornamento per la protezione 2823324, Microsoft sta rendendo disponibile un’immagine ISO avviabile tramite l’Area download Microsoft (DLC). I clienti che non riescono a riavviare i propri sistemi dopo l’applicazione dell’aggiornamento 2823324 possono scaricare questa immagine per creare un’unità USB o un DVD avviabile da cui eseguire l’avvio, disinstallare l’aggiornamento per la protezione 2823324 e riportare i sistemi alle condizioni normali di funzionamento. Per ulteriori informazioni e per scaricare l’immagine ISO, consultare l’Area download Microsoft.

Microsoft consiglia l’utilizzo dell’immagine ISO solo in caso di problemi di riavvio del sistema. Per i clienti che riescono a eseguire regolarmente il riavvio, non è necessario utilizzare l’immagine ISO; si consiglia invece di consultare l’articolo della Microsoft Knowledge Base 2839011 per istruzioni sulla disinstallazione dell’aggiornamento per la protezione 2823324.”