Driver บน Antivirus ของ Sophos ทำให้เกิด BSODs หลังจากอัปเดต Windows KB5013943

Sophos ได้ออกแพตซ์แก้ไขปัญหาที่ทำให้เกิด Blue screens of death (หรือที่เรียกว่า BSODs) บนระบบปฏิบัติการ Windows 11 ที่ลง Sophos Home antivirus หลังจากอัปเดต Windows KB5013943

"ผู้ใช้งาน Windows 11 ที่ติดตั้ง Sophos Home antivirus อาจพบข้อผิดพลาดที่ทำให้เกิด BSOD/Stop หลังจากติดตั้ง Windows Update KB5013943 และรีสตาร์ทเครื่อง" โดย Sophos กล่าวว่าปัญหาเกิดจาก Driver บน Windows ที่ชื่อว่า hmpalert.sys (หรืออีกชื่อหนึ่งคือ HitManPro.Alert Support) ซึ่งถูกใช้ใน Sophos Home antivirus

การอัปเดตนี้จะแก้ไขปัญหากับระบบที่ได้รับผลกระทบทั้งหมด โดยผู้ใช้งานจะได้รับการแจ้งเตือนให้รีสตาร์ทหลังจากที่มีการอัปเดตแพตช์เรียบร้อยแล้ว ผู้ใช้งานที่ได้รับผลกระทบจากปัญหานี้สามารถตรวจสอบการอัปเดตได้โดยเข้าไปที่ C:\Windows\System32\drivers และตรวจสอบเวอร์ชันของ hmpalert.sys ว่าถูกอัปเดตเป็นเวอร์ชัน 3.8.4.46 แล้วหรือไม่

วิธีการแก้ปัญหาชั่วคราว

วิธีแก้ปัญหาสำหรับผู้ใช้งานที่ยังไม่สามารถอัปเดตแพตซ์ได้ ต้องทำการเปลี่ยนชื่อไดรเวอร์ hmpalert.sys หรือถอนการติดตั้งการอัปเดต Windows KB5013943 ที่มีปัญหา (เป็นทางเลือกสุดท้าย หากระบบไม่สามารถใช้งานได้) ซึ่งผู้ใช้งานควรทราบว่าการถอนการอัปเดต KB5013943 จะเป็นการลบการอัปเดตด้านความปลอดภัย ที่พึ่งมีการอัปเดตไปในช่วง Patch Tuesday ของเดือนพฤษภาคม ซึ่งรวมถึงช่องโหว่ Zero-day 3 ช่องโหว่ก่อนหน้านี้ด้วย

หากต้องการถอนการอัปเดต KB5013943 Windows 11 (ไม่แนะนำ) ปล่อยให้เกิด Blue screens สามครั้งติดต่อกัน จากนั้นคลิกที่ Advanced repair options และเลือก Troubleshoot > Advanced options >Uninstall Updates >Uninstall latest quality update

ส่วนการเปลี่ยนชื่อ Driver hmpalert.sys นั้น Sophos แนะนำปล่อยให้ระบบ BSOD รีสตาร์ทอัตโนมัติ หลังจากเกิดขึ้นสามครั้งติดต่อกัน จากนั้นคลิก Advanced repair options และเลือก Select Troubleshoot > Advanced options > Command Prompt

ทำตามขั้นตอนต่อไปนี้ (หลังจากทำตามขั้นตอนทั้งหมดแล้ว ระบบควรจะ Boot ได้ตามปกติ)

1. พิมพ์ cd c:\windows\system32\drivers
2. กด Enter
3. พิมพ์ ren hmpalert.sys hmpalert.old
4. กด Enter
5. พิมพ์ Exit
6. เลือก Continue

KB5013943 เป็นการอัปเดตในช่วง Patch Tuesday ของเดือนพฤษภาคม โดยมีการอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ที่พบในเดือนก่อนหน้า

การอัปเดตนี้ยังทำให้เกิด 0xc0000135 application errors เมื่อพยายามเปิดแอปพลิเคชัน .NET โดย Windows 11 จะแสดงข้อความว่า "The application was unable to start correctly (0xc0000135). Click OK to close the application." แอปที่ได้รับผลกระทบจะแตกต่างกันไปตามผู้ใช้งาน แต่ตามรายงานแอปพลิเคชันที่มีปัญหา ได้แก่ ProtonVPN, PowerShell, Event Viewer, Sound Blaster Command, KeePass, Visual Studio, Discord, ShareX และอื่นๆ

ที่มา : bleepingcomputer