ไมโครซอฟท์ออกแพตช์ฉุกเฉิน หลังอัปเดต Windows แล้ว Azure VM บูตไม่ขึ้น
ไมโครซอฟท์ปล่อยอัปเดตฉุกเฉิน (Out-of-band update) รหัส KB5064489 เพื่อแก้ไขปัญหาสำคัญที่ทำให้ Azure Virtual Machines (VM) บูตไม่ขึ้น หลังจากติดตั้งอัปเดตรายเดือน Patch Tuesday ประจำเดือนกรกฎาคม (KB5062553) บน Windows Server 2025 และ Windows 11 รุ่น 24H2
ปัญหานี้กระทบโดยตรงต่อผู้ใช้ Azure VM ที่เปิดใช้งาน Virtualization-based Security (VBS) แต่ไม่ได้เปิดใช้งานฟีเจอร์ Trusted Launch โดยเฉพาะผู้ที่เลือกใช้เวอร์ชัน VM Gen 2 รุ่น 8.0 ซึ่งไม่ใช่ค่าดีฟอลต์จาก Azure ทำให้เครื่อง VM ติดค้างในระหว่างขั้นตอน Secure Kernel Initialization ส่งผลให้ระบบไม่สามารถบูตเข้าสู่สถานะปกติได้
ปัญหานี้ส่งผลกระทบต่อใครบ้าง?
ไมโครซอฟท์ระบุว่า ปัญหานี้เกิดเฉพาะกับ Azure VM ที่เป็น VM ที่สร้างโดยใช้ Standard security (non–Trusted Launch) โดยมีการเปิดใช้งาน Virtualization-based Security (VBS) ภายในระบบ และไม่ได้ติดตั้ง Hyper-V role ภายใน VM รวมถึงมีการอัปเดต Patch Tuesday KB5062553
ผู้ใช้งานที่ใช้ VM แบบ Trusted Launch (มีการเปิดใช้งาน vTPM และ Secure Boot) จะไม่ได้รับผลกระทบจากบั๊กนี้แต่อย่างใด
ไมโครซอฟท์แนะนำให้ผู้ดูแลระบบที่พบปัญหานี้ ดำเนินการตามขั้นตอนดังนี้:
- ลบแพตช์ KB5062553 ออกจากระบบ (หากยังไม่ได้ติดตั้ง KB5064489)
- ติดตั้งแพตช์ฉุกเฉิน KB5064489 ซึ่งมีให้ดาวน์โหลดผ่าน Microsoft Update Catalog
- สำหรับผู้ที่สร้าง VM ใหม่จาก Azure Marketplace ขณะนี้ไมโครซอฟท์ได้อัปเดต image ของ Windows Server 2025 ให้รวมแพตช์นี้ไว้แล้วโดยอัตโนมัติ
ผู้ดูแลระบบสามารถเปิดโปรแกรม msinfo32.exe (System Information) เพื่อดูว่าเปิดใช้งาน VBS อยู่หรือไม่ และสามารถตรวจสอบค่า configuration ของ VM ผ่าน Azure Portal ได้ว่าใช้โหมด Standard และ VM Generation รุ่นใด หากตรงกับเงื่อนไขที่กล่าวมา ควรรีบดำเนินการติดตั้งแพตช์ทันทีเพื่อป้องกันการใช้งานล้มเหลว
กรณีที่มีความจำเป็นต้องใช้งาน VBS แต่ไม่สามารถใช้ Trusted Launch ได้ ควรพิจารณาทบทวนโครงสร้างความปลอดภัยของ VM หรือสลับไปใช้ VM รุ่นที่รองรับ Trusted Launch เพื่อลดโอกาสเกิดปัญหาที่เกี่ยวกับ Secure Kernel และฟีเจอร์ด้านความปลอดภัยในอนาคต
ไมโครซอฟท์ออกแพตช์ KB5064489 อย่างเร่งด่วนเพื่อแก้ไขปัญหาการบูต VM ไม่ขึ้นบน Azure หลังจากพบว่าการเปิดใช้ VBS บน VM แบบ Standard Security โดยไม่มี Trusted Launch อาจทำให้ระบบล้มเหลวทันทีหลังติดตั้งแพตช์ประจำเดือนกรกฎาคม การอัปเดตใหม่นี้มีผลเฉพาะกับ Windows Server 2025 และ Windows 11 24H2 ซึ่งยังไม่ใช่เวอร์ชันทั่วไปในวงกว้าง แต่มีการนำมาใช้ในองค์กรบางแห่งแล้ว โดยเฉพาะกลุ่มที่ทดสอบระบบบน Azure