processus.exe se bloque après le déploiement d’une image Sysprep ou l’exécution d’une recherche Cortana sur un Windows 10 Creators Update ou chute Creators Update système lorsque la prévention contre les exploits est activée

Articles techniques ID: KB89023
Date de la dernière modification : 02/05/2022

Environnement

Pr├⌐vention contre les menaces Endpoint Security (ENS) 10.x
McAfee Host Intrusion Prevention (Host IPS) 8.0

Microsoft Windows 10 automne Creators Update (également appelé Windows 10 RS3)
Microsoft Windows 10 Creators Update (également appelé Windows 10 RS2)
Microsoft Windows Sysprep

Problème

Si ENS Threat Prevention la prévention contre les exploits ou la prévention contre les exploits Host IPS est activé, les problèmes suivants peuvent se produire :

Une fois que vous avez déployé une image Sysprep avec ENS ou Host IPS installé sur un Windows 10 Creators Update ou chute Creators Update système, le processus de Microsoft dllhost. exe se bloque et le système ne parvient pas à démarrer avec le message d’erreur suivant :

COM Surrogate has stopped working

Le journal des applications Windows contient les informations suivantes : nom du application de défaillance : DllHost. exeVersion: 10.0.15063.0et horodatage : 0xb54cdbe6.
Processus Microsoft dllhost. exe génère un vidage sur incident après l’exécution d’une recherche Cortana sur un Windows 10 Creators Update ou chute Creators Update Configuration.

Cause

Ce problème survient lorsque la prévention contre les exploits ne parvient pas à injecter dllhost. exe processus, ce qui empêche le processus de se charger et de se bloquer.

Solution 1

{ENS1053.EN_US}

Solution 2

Ce problème est résolu dans Host IPS 8.0 Mise à jour 10, disponible sur le site des téléchargements de produits à l'adresse : http://mcafee.com/us/downloads/downloads.aspx.

REMARQUE : vous devez posséder un Grant Number valide pour l'accès. L'article KB56057 fournit des informations complémentaires sur le site des téléchargements de produits, ainsi que sur d'autres emplacements dédiés à des produits spécifiques.

Les mises à jour sont cumulatives ; le Support technique vous recommande donc d'installer la dernière version.

Résolution

Utilisez les options suivantes pour empêcher l’exécution de l’injection sur le dllhost. exe processus, de sorte qu’aucun incident ne sera généré.

Ajouter une règle de protection des applications pour dllhost. exe et sélectionnez Non pour le Statut d’inclusion échéant

Pour ENS, créez la règle dans la console ePO à l’adresse Catalogue de stratégies, Pr├⌐vention contre les menaces Endpoint Security, Catégorie : prévention contre les exploits, Règles de protection des applications section.
Pour Host IPS, créez la règle dans la console ePO à l’adresse Catalogue de stratégies, Host Intrusion Prevention 8.0: IPS, Catégorie : règles IPS (Windows, Linux, Solaris), Règles de protection des applications onglet.

Sinon, pour ENS, modifiez la règle de protection des applications définie par l’McAfee nommée Microsoft des services d’hébergement de DLL (par dllhost. exe) et sélectionnez Non pour le Statut d’inclusion échéant.

Veuillez En raison du problème connu 1211550-1182188 décrit dans KB82450, cette solution temporaire sera remplacée à chaque fois que le contenu de la prévention contre les exploits sera mis à jour, et vous devrez répéter cette solution temporaire. ENS 10.5.2 Threat Prevention extension HotFix 1213762 et ENS 10.5.3 Corrigez le problème.

Le processus dllhost. exe mappe à deux signatures de contenu d’exploit : 428, Protection générique contre les attaques par débordement de mémoire tampon 3761, CVE-2006-3440.

Microsoft Windows 10 Creators Update/Fall Creators Update n’est pas vulnérable à CVE-2006-3440.

Chercheurs McAfee Labs examinés Windows 10 Creators Update et chute Creators Update dllhost. exe pour WinDbg pour vérifier le fichier binaire et trouver ce qui DllCharacteristics est définie sur 0xc160. La documentation de Microsoft (https://msdn.Microsoft.com/en-us/library/Windows/Desktop/ms680339 (v = et 85). aspx) indique que le bit NX COMPAT Data Execution Prevention (DEP) est défini sur le Windows 10 Creators Update et chute Creators Update version de dllhost. exe. Le paramètre DEP empêche l’exécution de code à l’aide de techniques de débordement de mémoire tampon, car la pile et le tas sont en effet protégés. toute tentative de ce type entraînera un violation d’accès.

0:000 > DX-R1 (* ((ntdll ! _IMAGE_OPTIONAL_HEADER64 *) 0x7ff740750110))
(* ((ntdll ! _IMAGE_OPTIONAL_HEADER64 *) 0x7ff740750110)) [Type : _IMAGE_OPTIONAL_HEADER64]
[+ 0x000] Magic : 0x20b [type : unsigned short]
[+ 0x002] MajorLinkerVersion : 0XE [type : caractère non signé]
[+ 0x003] MinorLinkerVersion : 0xA [type : caractère non signé]
[+ 0x004] SizeOfCode : 0x1200 [type : unsigned long]
[+ 0x008] SizeOfInitializedData : 0x2200 [type : unsigned long]
[+ 0x00c] SizeOfUninitializedData : 0x0 [type : unsigned long]
[+ 0x010] AddressOfEntryPoint : 0x1440 [type : unsigned long]
[+ 0x014] BaseOfCode : 0x1000 [type : unsigned long]
[+ 0x018] ImageBase : 0x7ff740750000 [type : unsigned __int64]
[+ 0x020] SectionAlignment : 0x1000 [type : unsigned long]
[+ 0x024] FileAlignment : 0x200 [type : unsigned long]
[+ 0x028] MajorOperatingSystemVersion : 0xA [type : unsigned short]
[+ 0x02a] MinorOperatingSystemVersion : 0x0 [type : unsigned short]
[+ 0x02c] MajorImageVersion : 0xA [type : unsigned short]
[+ 0x02e] MinorImageVersion : 0x0 [type : unsigned short]
[+ 0x030] MajorSubsystemVersion : 0xA [type : unsigned short]
[+ 0x032] MinorSubsystemVersion : 0x0 [type : unsigned short]
[+ 0x034] Win32VersionValue : 0x0 [type : unsigned long]
[+ 0x038] SizeOfImage : 0x9000 [type : unsigned long]
[+ 0x03c] SizeOfHeaders : 0x400 [type : unsigned long]
[+ 0x040] Somme de contrôle : 0x144ae [type : unsigned long]
[+ 0x044] Sous-système : 0X2 [type : unsigned short]
[+ 0x046] DllCharacteristics : 0xc160 [type : unsigned short]
[+ 0x048] SizeOfStackReserve : [type : unsigned __int64]
[+ 0x050] SizeOfStackCommit : 0x8000 [type : unsigned __int64]
[+ 0x058] SizeOfHeapReserve : [type : unsigned __int64]
[+ 0x060] SizeOfHeapCommit : 0x1000 [type : unsigned __int64]
[+ 0x068] LoaderFlags : 0x0 [type : unsigned long]
[+ 0x06c] NumberOfRvaAndSizes : 0x10 [type : unsigned long]
[+ 0x070] DataDirectory [type : _IMAGE_DATA_DIRECTORY [16]]

Informations connexes

Pour obtenir des instructions sur la création de règles de protection des applications, reportez-vous à la section Configuration des paramètres de prévention contre les exploits de Endpoint Security 10.5 Guide produit (PD26799) ou KB79850 (pour Host IPS).

Clause d'exclusion de responsabilité

Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.

Produits affectés

Host Intrusion Prevention 8.0 (EOL)
Known Issue/Product Defect

Langues :

Cet article est disponible dans les langues suivantes :

English United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro

Knowledge Center

processus.exe se bloque après le déploiement d’une image Sysprep ou l’exécution d’une recherche Cortana sur un Windows 10 Creators Update ou chute Creators Update système lorsque la prévention contre les exploits est activée

Environnement

Problème

Cause

Solution 1

Solution 2

Résolution

Informations connexes

Clause d'exclusion de responsabilité

Produits affectés

Langues :

Title

Title

Knowledge Center

processus.exe se bloque après le déploiement d’une image Sysprep ou l’exécution d’une recherche Cortana sur un Windows 10 Creators Update ou chute Creators Update système lorsque la prévention contre les exploits est activée

Environnement

Problème

Cause

Solution 1

Solution 2

Résolution

Informations connexes

Clause d'exclusion de responsabilité

Produits affectés

Langues :

Choisissez votre région

Title

Title