Knowledge Base KB0235

Auslöser für SentinelAgent und think-cell: "COMBASE.DLL STATUS_ACCESS_VIOLATION"

Problem

Das Sicherheitstool SentinelAgent von SentinelOne ist auf meinem Computer installiert. Nach der Arbeit mit dem internen Datenblatt von think-cell erhalte ich irgendwann die Fehlermeldung COMBASE.DLL STATUS_ACCESS_VIOLATION.

think-cell Fehlermeldung.

In einigen Fällen wird die Fehlermeldung nicht angezeigt und stattdessen ein neues Excel-Fenster (der regulären, eigenständigen Excel-Anwendung) gestartet.

Lösung

Das Problem wird durch die Installation der folgenden Microsoft Windows-Updates gelöst.

Hinweis: In einer früheren Version dieses Artikels haben wir basierend auf den Informationen von Microsoft die dritte Oktoberwoche 2022 als voraussichtliches Veröffentlichungsdatum für die erste Welle von Windows-Updates angegeben. Microsoft hat diese Updates jedoch auf November verschoben. Nachstehend finden Sie die derzeit verfügbaren Informationen zum 1. Dezember 2022.

Für die nachstehend aufgeführten Windows-Versionen veröffentlichte Microsoft im November 2022 optionale Versionen (d. h. die 11C-Version in der Namenskonvention von Microsoft). Siehe Microsofts Release-Informationen zum 15. November 2022-KB5020030 (OS Builds 19042.2311, 19043.2311, 19044.2311 und 19045.2311) Vorschau

  • Windows 10 v22H2 (Build 19045)
  • Windows 10 v21H2 (Build 19044)
  • Windows 10 v21H1 (Build 19043)
  • Windows 10 v20H2 (Build 19042)

Die Updates für die folgenden Windows-Versionen wurden ursprünglich für November angekündigt, wir haben allerdings noch keine neuen Informationen erhalten. Am wahrscheinlichsten ist jedoch der Januar 2023, da Dezember-Updates für Sicherheitsprobleme reserviert sind.

  • Windows 11
  • Windows Server 2022
  • Windows 10 v2004

Für diese Windows-Version war ursprünglich ein Update für Januar 2023 vorgesehen, und bisher haben wir keine Informationen über eine Änderung erhalten.

  • Windows 10 v1809: 1B (Standard-Freigabe, zweiter Dienstag im Januar 2023)

Es wird erwartet, dass Microsoft die optionalen „C“-Freigaben anschließend auf Standard-„B“-Freigaben verschiebt.

Wenn nach der Installation des entsprechenden Windows-Updates immer noch Probleme auftreten, wenden Sie sich bitte an unser Supportteam.

Reproduktionsschritte

Wenn Sie sich nicht sicher sind, ob Sie diesen oder einen ähnlichen Fehler haben, versuchen Sie diese Reproduktionsschritte:

  1. Öffnen Sie PowerPoint.
  2. Fügen Sie ein gestapeltes think-cell Diagramm ein.
    Einfügenthink-cellElementeGestapelt → Klicken Sie auf die Folie, um das Diagramm einzufügen
    → Internes Datenblatt wird geöffnet (Excel-Prozess wird im Task-Manager angezeigt → (Weitere Details) → Details)
  3. Internes Datenblatt schließen
    → Warten Sie, bis der Excel-Prozess im Task-Manager geschlossen wird → (Weitere Details) → Details) (kann ~30 s dauern)
    CRITICALWITHMSG COMBASE.DLL 10.0.18362.1645+0x1BEBBE: STATUS_ACCESS_VIOLATION oder ein neues Excel-Fenster wird geöffnet
    → Nach dem Schließen der Fehlermeldung wird der Excel-Prozess geschlossen

Analyse

Dieses Problem trat nur in den betroffenen Windows-Versionen auf, wenn think-cell und SentinelAgent von SentinelOne zusammen aktiviert waren. Unsere Entwickler haben das Problem genauer analysiert:

Der Absturz erfolgte in COMBASE.DLL innerhalb der CCtxChnl::OnCall Funktion. Wir haben das Problem in der 64-Bit-Version von COMBASE.DLL 10.0.19041.1202 untersucht, und die folgenden Adress-Offsets und Symbolnamen stammen aus dieser Version.Der Großteil des Codes in CCtxChnl::OnCall schien robust gegen das this->_pIFaceEntry->_pID Mitglied zu sein null (z. B. CStdWrapper::IsNAWrapper wurde von aufgerufen von CCtxChnl::OnCall und verfügte über Code, um dies zu behandeln).Wenn der IsCallTracingEnabled-Aufruf in CCtxChnl::OnCall true zurückgab, versuchte der Code, auf this->_pIFaceEntry->_pID->_oid.Data1 zuzugreifen, ohne zu überprüfen, ob this->_pIFaceEntry->_pID null ist, und dies führt zu einer Zugriffsverletzung (COMBASE.DLL!Imagebase+0x00000000001A77B0).

Temporärer Workaround

Wenn Sie Windows noch nicht auf eine der korrigierten Versionen aktualisieren können, kann Ihre IT diesen Workaround ausprobieren:

Ein think-cell Kunde erhielt diesen Workaround von SentinelOne, bevor die korrigierten Windows-Versionen verfügbar waren. Für weitere Informationen zu diesem Workaround wenden Sie sich an Ihren SentinelOne Support und beziehen Sie sich auf das folgende Ticket #652625.

  1. Beziehen Sie die SentinelOne Passphrase für die Maschine
  2. Führen Sie CMD als Administrator aus:
    cd "C:\Program Files\SentinelOne\Sentinel Agent <X.X.X.XXX\>"
    sentinelctl config agent.relinking.com false -k "PASS PHRASE FROM STEP ONE"
    sentinelctl config agent.relinking.com
    (der Rückgabewert sollte sein: false)
  3. Warten Sie 5 Minuten und starten Sie dann die Maschine neu.

Teilen