本記事はマイクロソフト社員によって公開されております。
いつも弊社製品をご利用いただきまして誠にありがとうございます。
Windows Commercial Support の相沢です。
今回は、2021 年 1 月 21 日にリリースされた更新プログラムの適用後に弊社の NTFS ドライバーの不具合に起因して Bugcheck 0xBE (ATTEMPTED_WRITE_TO_READONLY_MEMORY ) が発生する問題についてご案内いたします。
対象 OS
- Windows 10 (1809, 1909)
- Windows Server 2019
概要
NTFS は現行 Windows OS に標準で採用されているファイル システムであり、NTFS を実装するドライバーが NTFS.sys となります。
2021 年 1 月 21 日にリリースされた更新プログラムでは NTFS.sys の実装を一部変更いたしましたが、この変更内容に不具合があり Bugcheck 0xBEが発生する場合がございます。多くの場合は Defender 等のファイル アクセスを監視する製品を使用している環境において再現頻度が高まる傾向が報告されております。
原因
本不具合は、複数のスレッドが同一ファイルに対して処理を行った際の例外ハンドリング時に、初期化されていないメモリ領域を使用して処理を続行してしまうために本来想定されていないメモリ領域にアクセスする問題となります。
本事象に該当する場合には、弊社過去事例で報告されているシナリオの大半は以下のコールスタックでシステムがクラッシュしております。なお、理論的には異なるコールスタックでクラッシュする可能性もございますのでご留意ください。
※ 全ての Bugcheck 0xBE が本不具合に該当するわけではございませんので、該当するかどうかを判断するにはシステム クラッシュ時のメモリ ダンプよりコールスタックを確認する必要がございます。
# Child-SP RetAddr Call Site
00 ffffd109f20bcb48 fffff8007ea0badb nt!KeBugCheckEx
01 ffffd109f20bcb50 fffff8007e866d38 nt!MiSystemFault+0x17b86b
02 ffffd109f20bcc90 fffff8007e9cbec9 nt!MmAccessFault+0x1d8
03 ffffd109f20bce30 fffff8007e813e27 nt!KiPageFault+0x349
04 ffffd109f20bcfc0 fffff8007eda06ef nt!CcUnpinFileDataEx+0x27
05 ffffd109f20bd060 fffff80e98ccc362 nt!CcUnpinData+0x1f
06 ffffd109f20bd090 fffff80e98d65702 Ntfs!NtfsCleanupAttributeContext+0x42
07 ffffd109f20bd0c0 fffff8007e998691 Ntfs!NtfsCommonQueryEa$fin$0+0x3d
08 ffffd109f20bd110 fffff8007e9c6f3f nt!_C_specific_handler+0x1a1
09 ffffd109f20bd180 fffff8007e82342f nt!RtlpExecuteHandlerForUnwind+0xf
0a ffffd109f20bd1b0 fffff8007e9985d5 nt!RtlUnwindEx+0x4df
0b ffffd109f20bd8e0 fffff8007e9c6ebf nt!_C_specific_handler+0xe5
0c ffffd109f20bd950 fffff8007e826390 nt!RtlpExecuteHandlerForException+0xf
0d ffffd109f20bd980 fffff8007e8d95ae nt!RtlDispatchException+0x430
0e ffffd109f20be0d0 fffff80e98c00149 nt!RtlRaiseStatus+0x4e
0f ffffd109f20be670 fffff80e98bfa21a Ntfs!NtfsRaiseStatusInternal+0x6d
10 ffffd109f20be6b0 fffff80e98ced514 Ntfs!NtfsAcquireSharedFcb+0x10a
11 ffffd109f20be700 fffff80e98ce2ab0 Ntfs!NtfsCommonQueryEa+0x104
12 ffffd109f20be860 fffff80e98ce2870 Ntfs!NtfsFsdDispatchSwitch+0x220
13 ffffd109f20be990 fffff8007e83f109 Ntfs!NtfsFsdDispatchWait+0x40
解決策
本不具合は 2021 年 2 月 9 日以降のロールアップで修正されておりますので、対象システムにご適用いただきますようお願いいたします。
なお、既に 2021 年 1 月 21 日の更新プログラムを適用済みで本問題が頻発している環境につきましては、一時的に Windows Defender を無効化していただくか、セーフ モードで起動していただくことで再現頻度を抑制することが可能です。
本投稿が少しでも皆様のお役に立てば幸いです。
※ 本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。
変更履歴
- 2021/06/24 : 本記事の公開