Microsoft 确认四月 Windows 更新导致备份失败

Source: Bleeping Computer

Microsoft 已确认，2024 年 4 月的安全更新导致使用 psmounterex.sys 驱动的第三方备份应用出现故障。此问题影响依赖 VSS（卷影复制服务）快照的软件，并导致 VSS 服务超时。

受影响的软件

已在以下产品中观察到此问题，且不限于此：

• Macrium Reflect – 请参阅 Reddit 讨论。
• Acronis Cyber Protect Cloud – 请参阅 Acronis 知识库文章。
• UrBackup Server – 请参阅论坛帖子。
• NinjaOne Backup – 请参阅 Reddit 讨论。

这些应用可运行在 Windows 11、Windows 10 和 Windows Server 设备上。

Microsoft 的响应

Microsoft 已更新其支持文档，确认 4 月更新包含一项安全加固更改，将 psmounterex.sys 添加到公司的 易受攻击驱动阻止列表。该阻止列表用于防御高危的缓冲区溢出漏洞（CVE‑2023‑43896），该漏洞可能导致特权提升或任意代码执行。

“在 2024 年 4 月的 Windows 安全更新中，我们将已知易受攻击的内核驱动 psmounterex.sys 添加到易受攻击驱动阻止列表。依赖此驱动的备份应用在尝试挂载或管理磁盘映像时可能会出现故障，”Microsoft 对 BleepingComputer 说。

Microsoft 建议受影响的客户：

1. 更新到使用更新驱动且具备所需保护的最新版本备份应用。
2. 不要 卸载或暂停 4 月更新。

受影响系统的症状

当 Windows 代码完整性强制阻止该易受攻击驱动时，可能会出现：

• 依赖 psmounterex.sys 的备份应用无法将备份映像文件挂载为虚拟驱动器。
• 尝试浏览或从备份映像恢复时出现错误或超时。
• 错误信息如 “The backup has failed because Microsoft VSS has timed out during the snapshot creation” 或 VSS_E_BAD_STATE。
• 事件查看器中出现针对 psmounterex.sys 的代码完整性错误条目。
• 完整映像备份可能仍能成功，但映像挂载操作会失败。

检测阻止列表操作

要验证易受攻击驱动阻止列表是否已阻止该驱动：

1. 打开 事件查看器（右键单击开始 → 事件查看器）。
2. 导航至 Applications and Services Logs → Microsoft → Windows → CodeIntegrity → Operational。
3. 查找 事件 ID 3077，其策略 ID 为 {D2BDA982-CCF6-4344-AC5B-0B44427B6816}。

‘Event 3077’ 条目在事件查看器中（Microsoft）

相关的 Windows Server 问题

在 4 月初，Microsoft 警告部分 Windows Server 2025 设备在安装 KB5082063 更新后可能会进入 BitLocker 恢复模式。公司还发布了带外（OOB）更新，以解决：

• Windows Server 系统上的更新安装失败。
• 某些域控制器出现的重启循环。

这些更新旨在解决 2024 年 4 月安全补丁引入的更广泛的稳定性问题。