微软在发布 2026 年 4 月安全更新后,将第三方备份软件 Macrium Reflect 的核心驱动加入脆弱驱动拦截名单。该安全策略的更新导致依赖该驱动的备份应用无法正常工作,用户挂载或浏览备份镜像时会出现报错。
脆弱驱动拦截名单的机制
微软自 2022 年起在 Windows Security 应用中引入“脆弱驱动拦截名单”(Vulnerable Driver Blocklist)。该机制默认拦截已证实存在安全漏洞的内核驱动,以防止恶意软件利用驱动漏洞植入系统。本次更新通过 KB5083769(2026 年 4 月 Patch Tuesday 正式版)及可选更新 KB5083631,将 Macrium Reflect 使用的 psmounterex.sys 内核驱动正式纳入拦截范围。微软指出,该拦截举措旨在防御 CVE-2023-43896 漏洞,该漏洞曾被发现可导致越界写入与权限提升,进而破坏内核堆栈并威胁系统完整性。
用户端影响与报错表现
安装 2026 年 4 月 14 日或之后发布的 Windows 更新后,依赖该驱动的应用将直接受影响。具体表现为 Volume Shadow Copy Service(VSS)在创建快照时发生超时,导致备份应用无法挂载或浏览磁盘镜像。用户尝试操作时可能收到“备份失败,因为 Microsoft VSS 在快照创建期间超时”或 VSS_E_BAD_STATE 错误代码。事件查看器中亦会记录代码完整性错误,显示该驱动因策略 ID {D2BDA982-CCF6-4344-AC5B-0B44427B6816} 被阻止加载。值得注意的是,完整备份创建通常仍可正常执行,仅镜像挂载环节会失效。
官方应对与厂商版本差异
微软在支持文档中明确,该驱动将一直被保留在拦截名单中,直至开发商提供更完善的安全版本。第三方厂商 Macrium 此前已指出,其软件在 8.0.7690 与 8.1.7675 版本中已于 2023 年 10 月修复了相关漏洞,而微软此次设定的拦截门槛为 8.1.7544 及更低版本。这一版本判定差异导致部分已更新客户端仍受到系统级策略限制。目前尚未有新版本的驱动更新推送计划,微软建议受影响的管理员与用户等待厂商发布符合代码完整性要求的新版驱动,或通过事件日志确认拦截状态。
受影响用户可继续执行完整备份任务,但需关注后续驱动更新进度。
via Neowin
