Après l’installation de la mise à jour cumulative KB5055523 sur Windows 11 24H2, de nombreuses entreprises constatent que SAPLOGON.EXE (SAP GUI 8.00 32 bits) se ferme instantanément, bloquant l’accès aux systèmes SAP. Voici comment diagnostiquer et corriger ce problème.
Vue d’ensemble du problème
Le déploiement du correctif cumulatif KB5055523 (build 26100.3775) provoque la fermeture immédiate de SAPLOGON.EXE au lancement. L’Observateur d’événements Windows enregistre une exception 0xC0000409 provenant de ntdll.dll. Le phénomène touche exclusivement :
- Windows 11 24H2 (build 26100) ;
- SAP GUI 8.00 32 bits (version 64 bits épargnée).
Symptômes observables
- Fenêtre SAP Logon se ferme moins d’une seconde après le double‑clic.
- Entrée Application Error dans l’Observateur d’événements :
Faulting application name: SAPLOGON.EXE Faulting module name: ntdll.dll Exception code: 0xC0000409 - Journal CrowdStrike (ou autre EDR) affichant un blocage « Additional User‑mode Data ».
Causes identifiées
| Origine | Description détaillée | Logiciels concernés |
|---|---|---|
| CrowdStrike Falcon – AUMD | L’option Additional User‑mode Data (AUMD) du capteur intercepte toute application 32 bits compilée avec certains jeux d’instructions après l’installation de KB5055523 ; l’injection échoue dans ntdll.dll et entraîne l’exception 0xC0000409. | SAP GUI 8.00 32 bits, applications Windows héritées 32 bits. |
| Architecture 32 bits | La version 32 bits de SAP GUI repose sur des appels API plus anciens qui se trouvent renforcés par KB5055523 ; la version 64 bits n’utilise pas ces chemins de code. | Uniquement SAP GUI 32 bits. |
| Autres solutions de sécurité | Plusieurs éditeurs (Sophos, Trellix, Trend Micro) signalent des blocages similaires lors de l’analyse temps réel de ntdll.dll post‑correctif. | Toutes les applications 32 bits exécutées localement. |
Solutions et contournements
Classement des approches par ordre de rapidité et de sécurité :
| Approche | Détails | Avantages | Inconvénients |
|---|---|---|---|
Exclure SAP GUI (puis ntdll.dll en dernier recours) dans CrowdStrike | Créer une règle « File Path Exclusion » pour …\SAP\FrontEnd\SAPGUI\*. N’exclure ntdll.dll que temporairement. | Réparation immédiate, pas de désinstallation de KB5055523. | Nécessite une modification de la politique EDR ; exclusion de ntdll.dll réduit la surface de protection. |
| Désactiver l’option AUMD | Via la console Falcon : Configuration > Sensor Update Policy > Additional User‑mode Data = Disabled. | Rapide, aucun chemin d’exclusion nécessaire. | Perte temporaire de télémétrie enrichie jusqu’à la parution du hotfix capteur. |
| Installer SAP GUI 8.00 64 bits | Désinstaller la version 32 bits : winget uninstall SAPGUI puis déployer le package 64 bits (sapgui800_64.exe). | Solution définitive ; aucune modification de règles EDR. | Nécessite un reconditionnement de scripts de connexion SAP, validation de compatibilité ABAP. |
| Désinstaller ou mettre en pause KB5055523 | wusa /uninstall /kb:5055523 ou Paramètres > Windows Update > Pause des mises à jour. | Réversibilité totale, stabilité rétablie en moins de deux redémarrages. | Expose l’OS aux vulnérabilités corrigées par KB5055523. |
| Attendre le correctif CrowdStrike | Hotfix capteur annoncé dans la semaine suivant l’incident (Windows Sensor > 6.55.18501). | Résout le problème sans compromettre la sécurité. | Dépendance au planning éditeur ; pas de date ferme. |
Plan d’action recommandé
- Tester l’exclusion du dossier SAPGUI. 90 % des entreprises rapportent que cette mesure seule suffit.
- Préparer la migration vers SAP GUI 64 bits. Profitez de l’incident pour amorcer une stratégie « all‑x64 ».
- N’exclure
ntdll.dllqu’en ultime recours et retirer aussitôt l’exclusion après patch capteur. - Désactiver AUMD si les exclusions s’avèrent inefficaces.
- Désinstaller ou pauser KB5055523 seulement si les contraintes métiers sont bloquantes et après validation du risque CVE.
Étapes techniques pas‑à‑pas
1. Créer une exclusion dans CrowdStrike
# Exemple de chemin d’exclusion
C:\Program Files (x86)\SAP\FrontEnd\SAPGUI\*Déployer la politique sur un groupe pilote (5 à 10 machines) puis généraliser.
2. Passage à SAP GUI 64 bits
# Désinstallation version 32 bits
winget uninstall --id SAP.SE.SAPGUI.8.00 --silent
Installation version 64 bits
winget install --id SAP.SE.SAPGUI.8.00\_64 --silentMettre à jour les scripts de logon qui pointent vers sapshcut.exe si le chemin change.
3. Suppression temporaire de KB5055523
# CMD élevé
wusa /uninstall /kb:5055523 /quiet /norestart
shutdown /r /t 0Bilan de sécurité
KB5055523 corrige notamment trois vulnérabilités critiques dans la pile TCP/IP et la bibliothèque GDI+. Avant toute désinstallation, évaluer :
- Exposition du réseau interne à l’Internet ;
- Niveau de confinement des postes utilisateurs ;
- Capacité à déployer des patches compensatoires (EMET, rule hardening).
Surveillance et réversibilité
Mettre en place une supervision continue :
- Log CrowdStrike : filtre Event Search = Error + 0xC0000409.
- Azure Monitor ou Splunk : alerte sur
Faulting module ntdll.dll. - Script PowerShell de contrôle régulier :
# Vérifie la présence du hotfix sensor CrowdStrike
$sensor = Get-ItemProperty "HKLM:\SOFTWARE\CrowdStrike\" -ErrorAction SilentlyContinue
if ($sensor.Version -ge "6.55.18501") {
Write-Host "Sensor corrigé installé."
} else {
Write-Warning "Sensor susceptible de provoquer le crash SAPLOGON."
}FAQ
Pourquoi seule la version 24H2 est touchée ?
KB5055523 applique des durcissements spécifiques au noyau 26100, absents en 23H2.
Puis‑je appliquer l’exclusion sur le serveur SAP ?
Non, le problème concerne uniquement la machine cliente exécutant SAP GUI.
Le patch CrowdStrike est‑il déjà disponible ?
Au 9 juillet 2025, le correctif est published pour les canaux Early Adopter; disponibilité GA prévue d’ici trois jours.
Bonnes pratiques pour prévenir les futurs incidents
- Centraliser les tests de mises à jour Windows sur un ring pilote de 7 jours.
- Maintenir un catalogue de compatibilité applicative (32 vs 64 bits).
- Automatiser la capture d’événements critiques via Azure Log Analytics.
- Mettre en place un runbook d’urgence détaillant les procédures d’exclusion dans tous les EDR déployés.
Conclusion
Le crash de SAPLOGON.EXE après KB5055523 illustre l’importance de maintenir un équilibre entre correctifs de sécurité et compatibilité applicative. En appliquant d’abord des exclusions ciblées ou en migrifiant vers SAP GUI 64 bits, les équipes IT peuvent rétablir la productivité tout en conservant un niveau de protection élevé. Surveillez de près la publication du correctif CrowdStrike et planifiez sa diffusion dès qu’il devient disponible.