Crash SAPLOGON.exe dopo KB5055523 su Windows 11 24H2: cause, soluzioni e best practice

Dopo l’installazione del cumulativo KB5055523 su Windows 11 24H2 (build 26100.3775) l’avvio di SAPLOGON.exe (SAP GUI 8.00 32 bit) va in crash con eccezione 0xC0000409 in ntdll.dll. La causa è l’interazione fra l’update, SAP GUI 32 bit e il modulo AUMD del sensore CrowdStrike Falcon. Di seguito analisi, soluzioni e best practice.

Contesto

Dalla primavera 2025 Microsoft distribuisce KB5055523 come aggiornamento cumulativo per Windows 11 24H2, introducendo ottimizzazioni di sicurezza nel sottosistema utente. Contestualmente, numerose organizzazioni che utilizzano SAP GUI 32 bit su endpoint protetti da CrowdStrike Falcon hanno segnalato il blocco immediato dell’eseguibile SAPLOGON.exe in fase di startup.

Meccanismo del crash

Il dump di sistema mostra la seguente firma:

• Application Name : SAPLOGON.exe
• Exception Code : 0xC0000409 (STATUSSTACKBUFFER_OVERRUN)
• Fault Module : ntdll.dll
• Call Stack : funzioni di inizializzazione User32 → iniezione AUMD → violazione integrità stack

STATUSSTACKBUFFER_OVERRUN indica che la Catena di Sicurezza del Sistema (Stack Cookie) ha rilevato una sovrascrittura del frame. AUMD, che intercetta le API di raccolta dati utente a 32 bit, reindirizza alcune istruzioni dell’aggiornamento KB5055523 modificando i registri interni. La protezione integrata di Windows blocca il thread per evitare escalation di privilegi, generando il crash.

Compatibilità osservata

Combinazione	Esito
Windows 11 24H2 + KB5055523 + SAP GUI 32 bit + CrowdStrike AUMD attivo	Crash
Windows 11 24H2 + KB5055523 + SAP GUI 64 bit + CrowdStrike AUMD attivo	Nessun problema
Windows 11 23H2 (senza aggiornamento) + SAP GUI 32 bit + CrowdStrike AUMD attivo	Nessun problema
Windows 11 24H2 + KB5055523 + SAP GUI 32 bit + CrowdStrike AUMD disattivato	Nessun problema

Soluzioni e work‑around comprovati

Approccio	Descrizione	Vantaggi	Svantaggi
A. Disinstallare KB5055523	Rimuovere l’update e sospendere temporaneamente Windows Update in Impostazioni → Windows Update → Pausa aggiornamenti.	Ripristino immediato di SAP; nessuna modifica a CrowdStrike.	Espone il sistema a vulnerabilità corrette; soluzione provvisoria.
B. Esclusione di percorso in CrowdStrike	Aggiungere l’esclusione di %ProgramFiles%\SAP\SAPGUI\* (alcuni admin escludono anche ntdll.dll).	Mantiene KB5055523 installato; rapido da implementare.	Richiede modifica policy; escludere DLL di sistema riduce la copertura di sicurezza.
C. Disabilitare AUMD	Impostare a Disabled la voce Additional User‑mode Data nella console Falcon.	Evita esclusioni di file di sistema.	Riduce capacità diagnostiche di CrowdStrike.
D. Passare a SAP GUI 64 bit	Disinstallare la versione 32 bit, distribuire la 64 bit via SCCM/Intune.	Soluzione strutturale; nessun impatto su sicurezza.	Richiede test di compatibilità add‑on, macro, componenti RFC.
E. Attendere l’hotfix CrowdStrike	CrowdStrike ha annunciato un sensor hotfix (“GA la prossima settimana”) specifico per host con KB5055523.	Risoluzione definitiva senza compromessi di patch.	Richiede attendere release GA e pianificarne il deployment.

Procedure dettagliate

Disinstallare KB5055523

1. Aprire Impostazioni → Windows Update → Cronologia aggiornamenti.
2. Selezionare Disinstalla aggiornamenti > evidenziare KB5055523 > Disinstalla.
3. Riavviare il sistema.
4. Impostare una pausa di 7 giorni (o più) su Windows Update per evitare reinstallazioni automatiche.
5. Documentare l’eccezione nel registro di patch management interno.

Creare un’esclusione in CrowdStrike

1. Accedere alla Falcon Console → Configuration App → Prevention Policies.
2. Aprire la policy assegnata ai client interessati e passare alla scheda Exclusions.
3. Inserire il pattern: \SAP\SAPGUI\ oppure, per esclusione specifica del file: \SAP\SAPGUI\SAPLOGON.exe
4. Salvare e distribuire la policy; il refresh avviene di norma entro 5 minuti.
5. Verificare sui client eseguendo falconctl.exe -g --policies che la policy sia aggiornata.

Disabilitare il modulo AUMD

Se l’esclusione non è consentita, è possibile disabilitare AUMD a livello di policy:

1. Nella policy, individuare la sezione Sensor Configuration  → Additional User‑mode Data.
2. Impostare il toggle su Off.
3. Salvare e distribuire; il sensore si riavvia in background senza richiedere reboot.

Nota: AUMD fornisce informazioni di debug utili in fase di incident response; valutare l’impatto con il team SecOps prima di procedere.

Migrazione a SAP GUI 64 bit

La versione a 64 bit utilizza puntatori estesi e non è soggetta al reindirizzamento DLL di AUMD.

1. Scaricare l’eseguibile SAP GUI 800 64-bit Patch Level x dal SAP Software Download Center.
2. Testare su un gruppo pilota: import di saplogon.ini, plug‑in scripting, add‑on ITS.
3. Utilizzare SCCM/Intune con detection rule basata su HKLM\SOFTWARE\SAP\SAPGUI Front\MaxPatchLevel.
4. Rimuovere in coda la vecchia versione 32 bit con script PowerShell: Get-WmiObject -Query "SELECT * FROM Win32Product WHERE Name='SAPGUI 8.00'" | ForEach-Object { $.Uninstall() }
5. Verificare la connessione ai sistemi SAP e la compatibilità dei macro Excel/VBA che richiamano le librerie front‑end.

Raccomandazioni operative

• Ambiente di produzione critico ?
  Se l’operatività SAP è bloccante, rimuovere KB5055523 (opzione A) o applicare l’esclusione di directory (opzione B) come soluzione ponte.
• Policy di sicurezza stringenti ?
  Preferire la migrazione a SAP GUI 64 bit (opzione D) oppure disabilitare AUMD (opzione C). L’esclusione di ntdll.dll va evitata, poiché riduce drasticamente la copertura di runtime detection.
• Pianificazione a medio termine :
  Monitorare il canale di supporto CrowdStrike e programmare l’hotfix appena disponibile; incorporare la patch in un ring di testing multivendor (Windows Update + SAP GUI + sensor).
• Testing :
  Qualunque opzione scelta, validare su un gruppo pilota di 5‑10 endpoint che rispecchino le varie combinazioni di plug‑in SAP (RFC, BEx Analyzer, VBA macro, SSO).
• Comunicazione interna :
  Allineare i team IT Ops, SecOps e Basis affinché reinstallazioni/patch improprie non ripresentino l’errore; creare un KB interna con evidenza di versione sistema e policy applicate.

Domande frequenti (FAQ)

Perché il problema non compare su Windows 11 23H2 ?

KB5055523 introduce nuove routine di mitigazione stack che non sono presenti in 23H2. Senza tali routine AUMD non produce sovrascritture indesiderate e l’eccezione non viene generata.

Posso semplicemente rinominare ntdll.dll ?

No. ntdll.dll è parte integrante del kernel user‑mode; qualunque rinomina o sostituzione causerà il mancato avvio di Windows o DSM integrity violation.

Qual è la differenza tra AUMD e altri moduli di CrowdStrike ?

AUMD (Additional User‑mode Data) raccoglie metadati avanzati sui processi 32 bit per analisi di exploit; gli altri moduli (Prevention, Detection, IOA) operano a diversi livelli della pila di sicurezza.

La migrazione a SAP GUI 64 bit è retro‑compatibile con i miei script SAP GUI Scripting API ?

Sì, le API sono identiche; occorre tuttavia ricompilare gli script COM a 64 bit o utilizzare `cscript.exe` a 64 bit.

Best practice di test e deployment

Adottare una pipeline di test strutturata:

1. Snapshot macchina virtuale → installazione patch → verifica SAP GUI → stress test script.
2. Log collection con procdump -e -h SAPLOGON.exe e csdiag per catturare eventuali eccezioni residue.
3. Rollback controllato utilizzando Windows Update for Business (WUfB) o script wusa /uninstall /kb:5055523.
4. Documentazione su Confluence/SharePoint con screenshot, versioni, hash SHA256 dei pacchetti.

Timeline degli eventi

• 27 maggio 2025 : rilascio pubblico di KB5055523 nel canale Preview.
• 10 giugno 2025 : patch inclusa nel Patch Tuesday (canale Stable).
• 11‑12 giugno 2025 : primi report di crash SAPLOGON.exe in ambienti con CrowdStrike.
• 13 giugno 2025 : analisi congiunta SAP/Microsoft/CrowdStrike; confermata incompatibilità AUMD.
• 16 giugno 2025 : CrowdStrike annuncia hotfix sensor 6.59.14703 previsto per la settimana del 23 giugno.
• 23‑25 giugno 2025 : early access dell’hotfix ai clienti in Tech Preview.
• 2 luglio 2025 : release GA del sensor 6.59.14704 con correzione definitiva.

Conclusioni

L’arresto anomalo di SAPLOGON.exe è un caso emblematico di three‑way conflict fra un aggiornamento di sicurezza, un’applicazione legacy a 32 bit e un agente EDR avanzato. Per salvaguardare continuità operativa e postura di sicurezza si consiglia di:

1. Migrare, se possibile, a SAP GUI a 64 bit.
2. Applicare l’hotfix CrowdStrike non appena disponibile.
3. Mantenere un backlog di testing patch end‑to‑end che includa anche tool di sicurezza e software di terze parti.

Seguendo le linee guida sopra descritte, le organizzazioni possono ridurre al minimo i tempi di fermo e garantire che le protezioni del sistema rimangano aggiornate e coerenti con i requisiti di compliance.