Апрельские обновления безопасности от Microsoft вносят изменения, конфликтующие со сторонними антивирусными продуктами.
Проблема с загрузкой Windows, с которой недавно столкнулись пользователи сторонних решений безопасности, была вызвана апрельским обновлением безопасности для подсистемы клиент/сервер времени выполнения Windows (Client/Server Runtime Subsystem, CSRSS).
Очередные ежемесячные обновления для продуктов Microsoft были выпущены 9 апреля. После их установки многие пользователи Windows 7, Windows 8.1, Windows 2008, Windows 2008 R2, Windows 2012 и Windows 2012 R2 столкнулись с тем, что ОС переставала отвечать. Говоря точнее, проблема затронула системы с установленным антивирусным ПО корпоративного класса от Avast, Avira, McAfee и Sophos.
Что именно вызывает конфликт между ПО и ОС после установки апрельских обновлений, специалисты затрудняются сказать. Тем не менее, согласно бюллетеню поддержки McAfee, виновником сбоя является обновление безопасности для CSRSS. «Изменения в обновлениях Windows April 2019 для подсистемы клиент/сервер времени выполнения Windows (CSRSS) вместе с ENS (McAfee Endpoint Security – ред.) вызывают потенциальный тупик», – сообщается в бюллетене.
Компания Avast также опубликовала решение проблемы, судя по которому, сбой связан именно с CSRSS.
Скорее всего, речь идет об обновлении безопасности, исправляющем в CSRSS уязвимость CVE-2019-0735. С ее помощью авторизованный злоумышленник может повысить свои привилегии и запустить произвольный код. Похоже, исправление для уязвимости вносит изменения, вызывающие конфликт между решениями безопасности от вышеперечисленных производителей и Windows, а точнее, CSRSS.
Собираем и анализируем опыт профессионалов ИБ