MENU
  1. Início
  2. Windows
  3. Windows11
  4. SAPLOGON.exe trava após KB5055523 no Windows 11 24H2: causas, workarounds e prevenção

SAPLOGON.exe trava após KB5055523 no Windows 11 24H2: causas, workarounds e prevenção

Windows11

Introdução
Organizações que atualizaram para o Windows 11 24H2 (build 26100.3775, KB5055523) estão relatando o fechamento imediato do SAPLOGON.exe logo após a execução. A investigação revelou uma interação específica entre a atualização cumulativa, o sensor CrowdStrike Falcon com Additional User‑mode Data (AUMD) habilitado e aplicativos de 32 bits. A seguir, você encontrará uma análise exaustiva da falha, técnicas confiáveis de mitigação e boas práticas para prevenir a recorrência desse tipo de incidente em ambientes corporativos.

Índice

Visão geral do problema

Após instalar a KB5055523 em estações Windows 11 24H2, o SAP GUI 8.00 na versão de 32 bits passa a encerrar‑se no momento da inicialização. No Event Viewer, o evento gerado exibe:

  • Módulo de falha: ntdll.dll
  • Código de exceção: 0xC0000409 (indica corrupção de pilha)
  • Registro StackHash remetendo ao processo SAPLOGON.exe

Como confirmar o sintoma

  1. Acesse Event Viewer > Windows Logs > Application.
  2. Filtre pelos eventos Error que apontam para SAPLOGON.exe.
  3. Verifique a ocorrência do código 0xC0000409 acompanhado de referência a ntdll.dll.
  4. Confirme que a estação roda SAP GUI 8.00 32 bits e a build 26100.3775 do Windows 11.

Causa raiz detalhada

A investigação de equipes de TI corporativa, somada a relatórios de parceiros SAP e da própria CrowdStrike, levou à identificação da seguinte cadeia causal:

  • Componente de segurança envolvido: CrowdStrike Falcon Sensor, com AUMD ativo.
  • Gatilho: Modificações internas da atualização KB5055523 em rotinas de User‑Mode Hardware‑Enforced Stack Protection.
  • Fator agravante: Aplicativos 32 bits compilados para Windows Desktop que fazem chamadas intensivas à API Win32 (caso do SAP GUI).

A sobreposição dessas três condições resulta em uma violação de integridade de pilha detectada pelo kernel — gerando a exceção 0xC0000409 e, consequentemente, o fechamento do processo sem diálogo visível ao usuário.

Impacto operacional

Além da impossibilidade de logar nos sistemas SAP, o incidente pode atrasar processos críticos (folha de pagamento, faturamento, logística) e forçar rollback de patches, aumentando a superfície de exposição a vulnerabilidades corrigidas pela própria KB5055523.

Soluções e workarounds já testados

AbordagemResultadoObservações práticas
Exclusão de pasta SAP\FrontEnd\SAPGUI no CrowdStrike (é opcional excluir também ntdll.dll)Resolve para muitos administradores– Priorize apenas a pasta do SAPGUI.
– Use curingas corretos: \sap\sapgui\.
– Evite excluir ntdll.dll; risco de segurança elevado.
Desativar o AUMD no console FalconCorreção imediata– Alívio mais limpo do que tocar em DLLs.
– Reduz telemetria de cauda curta até chegada do hotfix.
Migrar para SAP GUI 8.00 64 bitsFunciona sem crashes– Requer backend SAP compatível (SAP Basis ≥ 7.56).
– Elimina riscos em aplicações 32 bits.
Desinstalar a KB5055523 e pausar updatesRestaura o funcionamento– Estratégia emergencial.
– Deixe claro o envelope de vulnerabilidades reabertas.
Aguardar hotfix do CrowdStrikeSensor corrigido prometido para semana seguinte (abril/2025)– Planeje janela para atualização assim que entrar em GA.
– Remova workarounds após validar em piloto.

Passo a passo para implementar cada mitigação

Exclusão de diretório no CrowdStrike Falcon

  1. No Falcon Console, acesse Configuration › Prevention Policies › Exclusions.
  2. Adicione um novo Path Exclusion com o valor: \sap\sapgui\.
  3. Marque apenas Detection e Prevention; mantenha Sensor Visibility ativo.
  4. Salve e aguarde a propagação das políticas.

Desativando o Additional User‑mode Data (AUMD)

  1. Na mesma política, abra a aba Advanced Settings.
  2. Localize Enable Additional User‑mode Data e altere para Disabled.
  3. Salve. O sensor reinicia rapidamente sem necessidade de reboot.

Atualizando para a versão 64 bits do SAP GUI 8.00

  1. Baixe o instalador na Software Download Center da SAP.
  2. Desinstale a versão 32 bits (SapSetup.exe /uninstall).
  3. Execute o instalador de 64 bits e selecione os componentes típicos (FrontEnd, BC e HTML Control).
  4. Teste logon em ambiente de qualidade (QAS) antes de produção.

Desinstalando a KB5055523

  1. Abrir Settings › Windows Update › Update History.
  2. Clicar em Uninstall updates.
  3. Localizar “Cumulative Update for Windows 11 Version 24H2 for x64‑based Systems (KB5055523)” e remover.
  4. Reiniciar o PC e definir Pause updates for 7 days para evitar reinstalação automática.

Monitoramento pós‑mitigação

  • Valide com o comando wmic qfe | find "5055523" se a KB foi removida.
  • Use o painel Detections do CrowdStrike para verificar se a exclusão está suprimindo alertas.
  • Execute o sapshcut.exe -info para validar a versão final do SAP GUI.

Planejamento estratégico para updates futuros

A sinergia entre EDRs modernos e mecanismos de proteção de pilha do Windows tende a se fortalecer. Abaixo, recomendações práticas para diminuir impactos semelhantes adiante:

  • Adoção de piloto controlado: implante novas CUs primeiro em máquinas representativas com sensores de EDR ativos.
  • Mapeamento de dependências 32 bits: documente cada software que ainda requer WoW64—migração para 64 bits deve ser priorizada.
  • Change management integrado: alinhe janelas de patching do Windows e do sensor CrowdStrike, garantindo que hotfixes sejam avaliados em conjunto.
  • Telemetria correlacionada: combine logs de crash do Event Viewer com alertas do Falcon para detectar rapidamente padrões cruzados.

Perguntas frequentes (FAQ)

Por que apenas o SAP GUI 32 bits trava e outros programas não? A falha é gatilhada por chamadas de API Win32 específicas usadas intensivamente pelo SAP GUI. Outros aplicativos 32 bits podem não disparar o mesmo fluxo de execução em ntdll.dll. No entanto, softwares que usam bibliotecas semelhantes também podem ser afetados — teste‑os após aplicar a mitigação escolhida. É seguro excluir ntdll.dll das verificações do CrowdStrike? Não. ntdll.dll é um alvo comum para exploits de execução de código. A exclusão expõe a estação a riscos significativos. Prefira restringir a exclusão à pasta do SAP GUI. Desabilitar o AUMD reduz drasticamente a proteção? O AUMD coleta dados de modo usuário para enriquecer a detecção de ataques filiados a DLLs. Ao desabilitá‑lo, você não perde prevenção, apenas granularidade de telemetria. É considerado impacto baixo para a maioria dos SOCs. Posso simplesmente aguardar a correção sem aplicar patch? Sim, mas avalie a criticidade do SAP na operação diária. Se o downtime é inaceitável, implemente pelo menos uma mitigação temporária.

Lições aprendidas

O incidente reforça a importância de processos integrados de patch management em ambientes onde o EDR realiza intercepção intensa de chamadas de usuário. Interações entre stacks de segurança exigem:

  • Testes regressivos em aplicações legadas antes de qualquer build do Windows ir para produção.
  • Documentação histórica de conflitos anteriores para acelerar troubleshooting futuro.
  • Atualização contínua de runbooks de TI, incluindo playbooks de rollback.

Conclusão

Até que o hotfix do CrowdStrike chegue ao canal estável, administradores contam com quatro rotas principais para restaurar o funcionamento do SAP GUI: exclusão de diretório no EDR, desativação temporária do AUMD, migração para a versão 64 bits do cliente ou rollback da KB5055523. Avalie criticamente requisitos de segurança x continuidade de negócio e escolha a abordagem que entrega menor risco operacional para sua organização.

Windows11
CrowdStrike KB5055523 SAP GUI Troubleshooting Windows 11
Índice