Dllhost. exe si blocca dopo la distribuzione di un'immagine Sysprep o per eseguire una ricerca Cortana su un sistema di aggiornamento di Windows 10 Creator o Fall Creators quando la prevenzione exploit è attivata

Articoli tecnici ID: KB89023
Ultima modifica: 02/05/2022

Ambiente

Prevenzione delle minacce McAfee Endpoint Security (ENS) 10.x
McAfee Host Intrusion Prevention (host IPS) 8.0

Microsoft Windows 10 Fall Creator Update (noto anche come Windows 10 RS3)
Microsoft Windows 10 Creator Update (noto anche come Windows 10 RS2)
Microsoft Windows Sysprep

Problema

Se è attiva la prevenzione exploit di ENS Prevenzione delle minacce o host IPS, è possibile che si verifichino i seguenti problemi:

Dopo la distribuzione di un'immagine Sysprep con ENS o host IPS installato in un sistema di aggiornamento creatori Windows 10 Creator o Fall Creator, il processo di Microsoft dllhost.exe si blocca e il sistema non viene avviato con il seguente messaggio di errore:

COM Surrogate has stopped working

Il registro applicazioni Windows contiene i seguenti dettagli: nome applicazione di errore: DllHost.exeVersione: 10.0.15063.0e timestamp: 0xb54cdbe6.
Il processo di Microsoft dllhost.exe genera un crash dump dopo l'esecuzione di una ricerca Cortana su un sistema di aggiornamento creatori di Windows 10 Creator o Fall Creator.

Causa

Il problema si verifica quando la prevenzione exploit non riesce a iniettarsi all' dllhost.exe processo, che provoca il caricamento e il blocco del processo.

Soluzione 1

{ENS1053.EN_US}

Soluzione 2

Questo problema è stato risolto in Host IPS 8.0 Update 10, disponibile nel sito di download dei prodotti all'indirizzo: http://mcafee.com/us/downloads/downloads.aspx.

NOTA: per accedere è necessario disporre di un codice di autorizzazione valido. Nell'articolo KB56057 vengono fornite ulteriori informazioni sul sito di download dei prodotti, nonché posizioni alternative da cui scaricare alcuni prodotti.

Gli aggiornamenti sono cumulativi. L'assistenza tecnica consiglia di installare la versione più recente.

Soluzione alternativa

Utilizzare le opzioni riportate di seguito per impedire l'esecuzione dell'iniezione sul dllhost.exe processo, pertanto non verrà generato un crash.

Aggiunta di una regola di Protezione applicazioni per dllhost.exe e selezionare Escludere per la Stato di inclusione opzione

Per ENS, creare la regola nella console ePO all'indirizzo Catalogo delle policy, Prevenzione delle minacce Endpoint Security, Categoria: prevenzione exploit, Regole di Protezione applicazioni sezione.
Per host IPS, creare la regola nella console ePO all'indirizzo Catalogo delle policy, Host Intrusion Prevention 8.0: IPS, Categoria: regole IPS (Windows, Linux, Solaris), Regole di Protezione applicazioni scheda.

In alternativa, per ENS, modificare la regola di Protezione applicazioni definita da McAfee denominata Servizi di hosting di Microsoft DLL (per dllhost.exe) e selezionare Escludere per la Stato di inclusione opzione.

Nota A causa del problema noto 1211550-1182188 descritto in KB82450, questa soluzione alternativa verrà sovrascritta ogni volta che viene aggiornato il contenuto di prevenzione exploit e sarà necessario ripetere questa soluzione. ENS 10.5.2 Hotfix di estensione Prevenzione delle minacce 1213762 e ENS 10.5.3 risolvere il problema.

Il processo dllhost.exe esegue il mapping a due firme del contenuto di exploit: 428, Protezione generica da overflow del buffer e 3761, CVE-2006-3440.

Microsoft Windows 10 Creator Update/Fall Creator Update non è vulnerabile a CVE-2006-3440.

McAfee Labs ricercatori hanno esaminato Windows 10 creatori Update e Fall Creator Update dllhost.exe con windbg per verificare il file binario e aver rilevato che DllCharacteristics è impostato su 0xc160. La documentazione Microsoft (https://msdn.Microsoft.com/en-US/Library/Windows/Desktop/ms680339 (v = vs. 85). aspx) indica che il bit di protezione esecuzione programmi NX (DEP) è impostato nella versione di aggiornamento dei creatori di Windows 10 Creator e Fall Creator di dllhost.exe. L'impostazione DEP impedisce l'esecuzione del codice utilizzando tecniche di overflow del buffer perché sia stack che heap verranno eseguiti protetti. qualsiasi tentativo di questo tipo porterà a una violazione di accesso.

0:000 > DX-R1 (* ((ntdll. _IMAGE_OPTIONAL_HEADER64 *) 0x7ff740750110))
(* ((ntdll! _IMAGE_OPTIONAL_HEADER64 *) 0x7ff740750110)) [Tipo: _IMAGE_OPTIONAL_HEADER64]
[+ 0x000] Magia: 0x20b [tipo: short senza firma]
[+ 0x002] MajorLinkerVersion: 0XE [tipo: char senza firma]
[+ 0x003] MinorLinkerVersion: 0xA [tipo: char senza firma]
[+ 0x004] SizeOfCode: 0x1200 [tipo: Long senza firma]
[+ 0x008] SizeOfInitializedData: 0x2200 [tipo: Long senza firma]
[+ 0x00c] SizeOfUninitializedData: 0x0 [tipo: Long senza firma]
[+ 0x010] AddressOfEntryPoint: 0x1440 [tipo: Long senza firma]
[+ 0x014] BaseOfCode: 0x1000 [tipo: Long senza firma]
[+ 0x018] ImageBase: 0x7ff740750000 [tipo: senza firma __int64]
[+ 0x020] SectionAlignment: 0x1000 [tipo: Long senza firma]
[+ 0x024] FileAlignment: 0x200 [tipo: Long senza firma]
[+ 0x028] MajorOperatingSystemVersion: 0xA [tipo: short senza firma]
[+ 0x02a] MinorOperatingSystemVersion: 0x0 [tipo: short senza firma]
[+ 0x02c] MajorImageVersion: 0xA [tipo: short senza firma]
[+ 0x02e] MinorImageVersion: 0x0 [tipo: short senza firma]
[+ 0x030] MajorSubsystemVersion: 0xA [tipo: short senza firma]
[+ 0x032] MinorSubsystemVersion: 0x0 [tipo: short senza firma]
[+ 0x034] Win32VersionValue: 0x0 [tipo: Long senza firma]
[+ 0x038] SizeOfImage: 0x9000 [tipo: Long senza firma]
[+ 0x03C] SizeOfHeaders: 0x400 [tipo: Long senza firma]
[+ 0x040] CheckSum: 0x144ae [tipo: Long senza firma]
[+ 0x044] Sottosistema: 0x2 [tipo: short senza firma]
[+ 0x046] DllCharacteristics: 0xc160 [tipo: short senza firma]
[+ 0x048] SizeOfStackReserve nell': 0x100000 [tipo: senza firma __int64]
[+ 0x050] SizeOfStackCommit: 0x8000 [tipo: senza firma __int64]
[+ 0x058] SizeOfHeapReserve: 0x100000 [tipo: senza firma __int64]
[+ 0x060] SizeOfHeapCommit: 0x1000 [tipo: senza firma __int64]
[+ 0x068] LoaderFlags: 0x0 [tipo: Long senza firma]
[+ 0x06c] NumberOfRvaAndSizes: 0x10 [tipo: Long senza firma]
[+ 0x070] DataDirectory [tipo: _IMAGE_DATA_DIRECTORY [16]]

Informazioni correlate

Per istruzioni sulla creazione delle regole di Protezione applicazioni, consultare la sezione "configurazione delle impostazioni di prevenzione exploit" del Endpoint Security 10.5 Guida del prodotto (PD26799) o KB79850 (per host IPS).

Dichiarazione di non responsabilità

Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.

Prodotti interessati

Host Intrusion Prevention 8.0 (EOL)
Known Issue/Product Defect

Lingue:

Questo articolo è disponibile nelle seguenti lingue:

English United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro

Knowledge Center

Dllhost. exe si blocca dopo la distribuzione di un'immagine Sysprep o per eseguire una ricerca Cortana su un sistema di aggiornamento di Windows 10 Creator o Fall Creators quando la prevenzione exploit è attivata

Ambiente

Problema

Causa

Soluzione 1

Soluzione 2

Soluzione alternativa

Informazioni correlate

Dichiarazione di non responsabilità

Prodotti interessati

Lingue:

Title

Title

Knowledge Center

Dllhost. exe si blocca dopo la distribuzione di un'immagine Sysprep o per eseguire una ricerca Cortana su un sistema di aggiornamento di Windows 10 Creator o Fall Creators quando la prevenzione exploit è attivata

Ambiente

Problema

Causa

Soluzione 1

Soluzione 2

Soluzione alternativa

Informazioni correlate

Dichiarazione di non responsabilità

Prodotti interessati

Lingue:

Scegli la regione

Title

Title