Windows Server 2022: schermata blu con VBS e i processori AMD EPYC

Virtualization Based Security (VBS) è una tecnologia introdotta da Microsoft tempo fa al fine di migliorare la sicurezza del sistema operativo, confermata anche in Windows Server 2022 (oltre che in Windows 11). Si tratta di una soluzione che sfrutta la virtualizzazione hardware (estensioni Intel VT-x e AMD-V) per isolare e proteggere alcune componenti chiave del sistema rispetto al resto della piattaforma. In un altro articolo abbiamo visto cos’è VBS e come funziona segnalando che in alcuni casi può rallentare le prestazioni.

Le principali caratteristiche di VBS

Il funzionamento di VBS si basa su una serie di componenti: Virtual Secure Mode (VSM) crea un ambiente isolato, noto come Secure Kernel, all’interno del sistema operativo. Si tratta di un ambiente progettato per eseguire operazioni di sicurezza critica, come la gestione delle credenziali e delle chiavi crittografiche, in modo che siano protette da attacchi malware. Anche da quelli che possono compromettere il kernel del sistema operativo. Device Guard aiuta a proteggere il sistema da software non autorizzato eseguendo solo codice firmato digitalmente, mentre Credential Guard aiuta a proteggere le credenziali utilizzando l’isolamento delle credenziali tramite VSM.

L’aggiornamento Microsoft di ottobre 2023 provoca schermate blu con Windows Server 2022 e i processori AMD EPYC

Dopo una serie di segnalazioni pervenute dai clienti business dell’azienda di Redmond, è emerso che l’aggiornamento cumulativo KB5031364, rilasciato a ottobre 2023, è responsabile della comparsa di schermate blu sui sistemi Windows Server 2022 basati su processore AMD EPYC e con la funzionalità VBS attiva.

Nello specifico, il problema in questione interessa la procedura di avvio dei sistemi guest virtualizzati con la piattaforma VMware ESXi. La schermata BSoD (Blue Screen of Death) espone il messaggio d’errore “PNP DETECTED FATAL ERROR” (stop code).

La schermata blu compare se e solo se l’impostazione “Expose IOMMU to guest OS” risulta abilitata nelle impostazioni della soluzione per la virtualizzazione VMware. IOMMU (Input-Output Memory Management Unit) è una componente hardware che gestisce la mappatura degli indirizzi di memoria utilizzati dai dispositivi di I/O nel sistema. Fornisce un’interfaccia tra le richieste di accesso alla memoria da parte dei dispositivi hardware e il sistema operativo. L’esposizione dell’IOMMU al sistema operativo guest offre diversi vantaggi in termini di isolamento e sicurezza, accesso diretto ai device del sistema host e prestazioni.

Come risolvere la schermata blu con i processori EPYC e Windows Server 2022

In attesa del rilascio di una patch ufficiale Microsoft, l’azienda di Redmond consiglia alcune soluzioni temporanee per superare il problema ed evitare la comparsa della schermata blu.

Una possibile strategia consiste nella disattivazione dell’opzione “Expose IOMMU to guest OS” all’interno delle impostazioni della macchina virtuale guest VMware.

In alternativa, si può disinstallare l’aggiornamento KB5031364, ad esempio impartendo il seguente comando dalla finestra del terminale di Windows:

wusa /uninstall /kb:5031364

Va detto che questo secondo intervento implica la rimozione non solo del codice che impatta negativamente sul funzionamento delle macchine guest ma anche tutte le altre correzioni di sicurezza rilasciate da Microsoft a ottobre 2023. Il consiglio è quello di verificare con attenzione le problematiche di sicurezza che meritano una rapida risoluzione quindi scaricare e applicare manualmente i singoli aggiornamenti “stand alone” piuttosto che il pacchetto cumulativo.