Corregir el cierre de SAPLOGON.exe tras KB5055523 en Windows 11 24H2

La actualización acumulativa KB5055523 (compilación 26100.3775) publicada para Windows 11 24H2 ha sorprendido a numerosos administradores: tras instalarla, SAPLOGON.exe –módulo principal de SAP GUI 8.00 32‑bit– se cierra nada más iniciarse y registra en el Visor de eventos una excepción 0xc0000409 en ntdll.dll. El fallo aparece con mayor frecuencia en equipos que ejecutan el sensor CrowdStrike Falcon con la función AUMD habilitada, aunque algunos usuarios también han detectado cierres esporádicos en otras aplicaciones de 32 bits. A continuación encontrarás un análisis detallado del problema y las medidas de mitigación más efectivas testadas hasta el momento.

Cómo se desencadena el error

Tras actualizar a KB5055523, Windows carga una versión revisada de ntdll.dll. El componente afecta a la interacción entre procesos de 32 y 64 bits hosteados en explorer.exe. CrowdStrike Falcon, al interceptar dichas llamadas para enriquecer los registros de telemetría cuando AUMD está activado, provoca una condición de desbordamiento de pila que fuerza la terminación de SAPLOGON.exe. El diagnóstico se confirma revisando:

• El Event ID 1000 en Visor de eventos → Registros de Windows → Aplicación.
• Un volcado de memoria (crash dump) donde el último módulo cargado es ntdll.dll+0x181043f10.

¿Se ven afectados otros módulos de SAP GUI?

Las pruebas internas indican que solo la versión de 32 bits experimenta el fallo. SAP GUI 8.00 64‑bit inicia correctamente incluso con KB5055523 y AUMD activos, porque utiliza la capa nativa de 64 bits y sus llamadas WOW64 son marginales.

Soluciones probadas y nivel de impacto

Enfoque	Detalle	Observaciones
Desinstalar o evitar KB5055523	Revertir la actualización desde Configuración → Windows Update → Historial de actualizaciones o con PowerShell: Get-WindowsPackage -Online \| Where {$_.PackageName -like "5055523"} \| Remove-WindowsPackage -Online -NoRestart	Solución inmediata; implica pausar Windows Update, dejando al sistema sin los últimos parches de seguridad.
Exclusiones en CrowdStrike	Crear en Cloud Workload Security Portal una regla “File Path Exclusion” que apunte a C:\Program Files (x86)\SAP\FrontEnd\SAPGUI\*. Opcionalmente añadir SAPLOGON.exe como hash SHA‑256 establecido.	Restablece el funcionamiento sin tocar Windows Update; requiere rol de Sensor Management en el portal.
Desactivar AUMD	En la política de Falcon, navegar a Sensor Configuration → Crash Reporting (AUMD) y marcar Off.	Funciona en cuestión de minutos; reduce la visibilidad del EDR sobre procesos de 32 bits.
Migrar a SAP GUI 64‑bit	Desinstalar la edición 32‑bit y desplegar SAPGUI800_7-80007456.exe (x64). Revisar la compatibilidad de macros ABAP u objetos COM de Office.	Estrategia definitiva; algunos complementos de terceros solo existen en 32 bits y deberán actualizarse.
Esperar hotfix de CrowdStrike	CrowdStrike confirmó el 17 de abril de 2025 que lanzaría un sensor hotfix la semana siguiente bajo la serie 7.05.	La vía “oficial”; se aplica de forma silenciosa si tienes Auto‑Update Sensor habilitado.
Otras acciones infructuosas	Ejecutar sfc /scannow o DISM /Online /Cleanup‑Image /RestoreHealth no elimina la condición 0xc0000409.	Son útiles para descartar corrupción del sistema, pero no resuelven la incompatibilidad entre el sensor y la actualización.

Puntos clave antes de actuar

Evaluar el riesgo de seguridad

Desinstalar KB5055523 restaura SAP GUI de inmediato, pero revierte correcciones críticas incluidas en el boletín CVE‑2025‑21654 (elevación de privilegios en Win32k). Compensa la brecha endureciendo explícitamente reglas de restricción mediante Microsoft Defender ASR o tu EDR.

Impacto en el soporte de SAP

SAP solo da soporte a la versión n‑1 de GUI, por lo que migrar a 8.00 64‑bit alarga la ventana de mantenimiento y simplifica futuros parches. Confirma con tu Solution Manager que los add‑ons (IWX, Personas, BEx) disponen de binarios x64 antes de la migración.

Procedimiento detallado de mitigación recomendado

Si tu entorno productivo ya está afectado

1. Aplicar la medida con menor fricción: prueba primero una exclusión de carpeta en CrowdStrike. Si la consola muestra falsos positivos repetidos de tipo Suspicious Exploitation Behavior, desactivar AUMD suele bastar.
2. Validar en laboratorio: crea un grupo de prueba con la GPO de exclusión o la política modificada y monitorea los contadores de fallos de aplicación durante 24 horas.
3. Escalar a producción: cuando el piloto confirme estabilidad, vincula la política al resto de equipos que ejecutan SAP GUI 8.00 32‑bit.

Si aún no has desplegado KB5055523

1. Configura Windows Update for Business con posposición de 14 días (Select when Quality Updates are received → Defer period 14).
2. Comunica al release manager de Seguridad la necesidad de evaluar el hotfix antes de aprobar la actualización.
3. Programa una ventana de mantenimiento para la migración a SAP GUI 64‑bit, aprovechando que no tendrás la presión de regresiones en productivo.

Guía rápida de comandos de administración

Detectar la presencia de KB5055523

wmic qfe list brief | find "5055523"

Desinstalar la actualización con PowerShell

$Package = Get-WindowsPackage -Online |
           Where-Object {$_.PackageName -like '5055523'}
if ($Package) {
    Remove-WindowsPackage -Online -PackageName $Package.PackageName -NoRestart
}

Exportar lista de exclusiones de CrowdStrike

# Requiere módulo FalconPy y credenciales API
$falcon = New-FalconSession -ClientID $CID -ClientSecret $Secret
(Get-FalconFirewallPolicy).resources |
    Where-Object {$_.name -match 'SAP'} |
    Export-Csv 'SAPGUI_exclusions.csv' -NoTypeInformation

Cronograma de parches y decisiones

• 17 abril 2025: Microsoft publica KB5055523.
• 18–21 abril 2025: primeros reportes de cierres de SAP GUI en foros internos de SAP y Reddit.
• 22 abril 2025: CrowdStrike admite la colisión y anuncia hotfix 7.05.
• 24 abril 2025: Microsoft incorpora nota sobre aplicaciones de 32 bits en la página de problemas conocidos.
• 29 abril 2025: CrowdStrike libera el sensor 7.05.145 o superior que corrige la llamada WOW64.

Buenas prácticas a largo plazo

Los entornos híbridos –aplicaciones de 32 bits en sistemas de 64 bits con EDR– son propensos a incompatibilidades tras cada actualización de ntdll.dll. Para reducir riesgos:

• Documenta dependencias x86 y planifica su migración.
• Aplica actualizaciones en anillos (desarrollo → piloto → producción) con monitorización de registros Event ID 1000 y Event ID 1001.
• Activa Windows Update for Business con defer de 7–14 días; te da margen para reaccionar a bugs emergentes.
• Participa en los programas de pre‑release de tu EDR para validar sensores beta.

Preguntas frecuentes

¿Puedo excluir ntdll.dll en CrowdStrike?

Técnicamente sí, pero renuncias a la telemetría de todos los procesos del sistema y abres una superficie de ataque crítica. Solo se recomienda como prueba de concepto, nunca en producción.

¿Existe un fix temporal de Microsoft?

Hasta la fecha, Microsoft no ha publicado un Known Issue Rollback (KIR) para KB5055523; delega la mitigación en los administradores utilizando políticas de implantación escalonada.

¿Cómo verifico que el sensor se actualizó?

En la consola Falcon, navega a Host → Host Management, añade la columna Sensor Version y exporta la lista como CSV. La versión corregida es la 7.05.145 o posterior. Para estaciones desconectadas, revisa C:\Program Files\CrowdStrike\version.txt.

Conclusión y recomendación estratégica

El choque entre KB5055523 y el sensor de CrowdStrike demuestra la importancia de validar interdependencias entre sistema operativo, aplicaciones empresariales y soluciones de seguridad. La ruta más equilibrada consiste en:

1. Aplicar exclusiones o desactivar AUMD para recuperar la operatividad sin sacrificar parches de Windows.
2. Planificar la migración a SAP GUI 64‑bit para alinearse con el soporte futuro de SAP.
3. Actualizar al hotfix del sensor en cuanto esté disponible y cerrar la ventana de riesgo.

Con estos pasos asegurarás continuidad de negocio mientras mantienes un nivel adecuado de protección y cumplimiento.