[English]Tritt auf euren Windows-Systemen seit kurzem ein KMODE_EXCEPTION_NOT_HANDLED BlueScreen auf? Könnte mit einer Merkwürdigkeit zum Juni 2018 Patchday und dem Spectre NG-Update zu tun haben.
Anzeige
Am 12. Juni 2018 hat Microsoft mit seinen Sicherheitsupdates auch einen Patch zum Schließen der Speculative Store Bypass-, Spectre- und Meltdown-Sicherheitslücken (CVE-2018-3639, CVE-2017-5715 und CVE-2017-5754) verteilt. Ich hatte in meinen Blog-Beiträgen zum Patchday darauf hingewiesen (siehe Links am Artikelende).
Damit die Updates aber diesbezüglich wirksam werden, muss ein Administrator bestimmte Registrierungseinträge setzen. Microsoft gibt in den KB-Artikeln KB4073119 (Clients) und KB4072698 (Server) Hinweise, wie bestimmte Registrierungseinträge zu setzen sind, damit die Patches überhaupt wirken.
Kann man achselzuckend zur Kenntnis nehmen – und ich höre immer wieder 'ein Administrator weiß so was und berücksichtigt das' – geschenkt.
BlueScreens vor Patch-Installation
Aber heute bin ich auf eine recht merkwürde Information im Umfeld des Microsoft Juni 2018-Patchday. Mir ist ein Fall unter die Augen gekommen, dass Windows-Systeme Boot-Probleme hatten, bevor Updates installiert wurden. Das Ganze findet sich bei administrator.de im Thread MS Patchday Juni 2018 – BSOD, obwohl noch kein Patch freigegeben. Da es nicht der 1. April ist, stufe ich es nicht als Fake oder April-Scherz ein. Der Poster beschreibt ein sehr merkwürdiges Szenario.
- In der Firma meldet sich ein Mitarbeiter am Patchday, dass sein Windows-Rechner nicht hochfuhr, sondern mit einem KMODE_EXCEPTION_NOT_HANDLED stehen blieb. Der BlueScreen weist darauf hin, dass im Kernel-Mode eine unbehandelte Ausnahme auftrat.
- Was wie ein Einzelfall aussah, wuchs sich zur Serie aus – von 140 Rechnern waren am Ende des Tages so 35 bis 40 Maschinen von dem Fehler betroffen.
- Der Fehler passierte beim Booten – eine Systemwiederherstellung schaffte Abhilfe. Laut dem Thread-Ersteller wird auch kein Dump erzeugt, so dass es keine Anhaltspunkte gibt, wo man ansetzen könnte.
Bei der Analyse der betroffenen Systeme stieß der Administrator auf den Umstand, dass bei den Maschinen die Registrierungswerte FeatureSettingsOverride und FeatureSettingsOverrideMask im folgenden Schlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
gemäß diesem Artikel für die neuen Spectre-Patches gesetzt waren. Das Merkwürdige an diesem Fall: Die Updates waren noch nicht installiert und der Thread-Eröffner schwört, dass er die Registrierungseinträge nicht gesetzt habe. Nachdem die Werte aus der Registrierung entfernt waren, booteten die Rechner auch wieder.
Ergänzung: Der Thread-Ersteller hat bei administrator.de noch einige Ergänzungen hinzugefügt:
Anzeige
Der Fehler taucht nur dann auf, wenn der Wert FeatureSettingsOverride auf 00000008 (Hex) steht, wie von Microsoft für SpectreV2 und SpectreV4 vorgesehen und das Juni 2018 Update NICHT installiert ist. Steht der Wert auf 00000003 (Hex), dann fährt der Rechner einwandfrei hoch, es ist aber nur der SpectreV2-Schutz aktiv.
Ich konnte das auf einem Testsystem mit Windows 10 1703 nachstellen, gehe aber auch davon aus, dass wie bei uns im Unternehmen 1607 und 1709 ebenfalls betroffen sind. Wenn das Juni 2018 Update installiert ist, kann man den Wert auf 00000008 setzen und alles läuft schick.
Der Fehler KMODE_EXCEPTION_NOT_HANDLED wird häufig im Internet diskutiert und tritt auch in 2018 immer mal wieder auf. Hier gibt es einen älteren Hinweis, wie man den BSOD beheben könnte. So richtig kann ich mir beim aktuellen Fall keinen Reim darauf machen. Aber vielleicht hilft die Information dem einen oder anderen Administrator, der einen Fehler der Art KMODE_EXCEPTION_NOT_HANDLED auf Maschinen angezeigt bekommt.
Ähnliche Artikel
Patchday: Updates für Windows 7/8.1/Server Juni 2018
Patchday: Windows 10-Updates 12. Juni 2018
2015
Hm, das die Keys da waren, aber nicht aktiv gesetzt worden sind habe ich jetzt ein paar mal gehört.
Ggf. "übereifrige" Antivirenprogramme die den Key als "Sicherheitsfeature" setzen?
Wurde auch vermutet, bisher aber negiert. Der Fall hat zwei Komponenten:
a) die Frage, was die Keys setzt
b) die Info, dass die Keys den BSOD verursachen können
Admins, die in b) rauschen, sollten das überprüfen.
KB4078130 setzt in der Registry die Schlüssel FeatureSettingsOverride und FeatureSettingsOverrideMask, um Spectre V2 abzuschalten, weil das auf Haswell und Broadwell in Zusammenhang nit fehlerhaften Microcode-Updates Probleme machte.
ja! massenhaft. in einem fall konnte ich einen bluescreen auslesen der auf den treiber "gdbehave.sys" verwies (G-Data – trust in german sicherheit, miterfinder von spectre / meltdown – ms's deutschland partner für azure endpoint lösungen)
deshalb habe ich auch den artikel zum (achso)gut funktionierenden… funktionsupdate nicht verstanden und nicht kommentiert.
dass ms seit rempl (remshell) installieren kann was ms will zu jedem zeitpunkt, (fast) ohne spuren zu hinterlassen, dank sleepstudy sind die besten gelegenheiten ebenfalls bekannt, ist doch bekannt! oder nicht?
ist das so schnell in vergessenheit geraten?
"merwürdig"!
das zeug muss halt auf den maschinen einiger opfer getestet werden.