Try our new Certificate Revocation List Check Tool
CRLcheck.exe is a tool developed to verify digital signatures of executable files. It collects files from known paths on your client, checks their signature, and checks Certificate Revocation Lists (CRL) and OCSP download. This helps avoid delays in launching files.
Category published:  Hotfixes, Updates Microsoft Server OS Server 2022 [21H2/22H2/32H2] WSUS   Click on the Category button to get more articles regarding that product.

Microsoft Patch KB5034439 Server 2022 also fails on SRV 2022 without Recovery Partition

Posted by admin on 11.01.2024

Microsoft Patch KB5034439 Server 2022 also fails on SRV 2022 without Recovery Partition or with too small recovery Partition (Free space under 250MB)

ERROR: KB5034439, 0x8024200B, 0x80070643 ERROR_INSTALL_FAILURE.

PATCH: 024-01 Security Update for Microsoft server operating system version 21H2 for x64-based Systems (KB5034439).

Status 12.01.2024 —————————————————–

Microsoft has releases two PowerShell with which you should be able to fix the problem.

Microsoft still recommends to RESIZE the Partition manual which is the least risky

https://support.microsoft.com/en-us/topic/kb5034957-updating-the-winre-partition-on-deployed-devices-to-address-security-vulnerabilities-in-cve-2024-20666-0190331b-1ca3-42d8-8a55-7fc406910c10

The January 2024 Windows RE update might fail to install

Status 15.01.2024 —————————————————–

Mitigated N/A
KB5034441
2024-01-09 Last updated: 2024-02-09, 17:04 PT
Opened: 2024-01-12, 14:10 PT
Devices attempting to install the January 2024 Windows Recovery Environment update ( KB5034441) might display an error related to the size of the Recovery Environment’s partition. The Windows Recovery Environment (WinRE) is used to repair or recover from issues affecting Windows.

Resulting from this error, the following message might be displayed.

“0x80070643 – ERROR_INSTALL_FAILURE”
Important: If your Windows device does not have a recovery environment configured, you do not need this update ( KB5034441). In this case, the error can be ignored.

To determine whether your device has a recovery environment configured, inspect the WinRE status by following these steps:

Open a Command Prompt window (cmd) as admin.
To check the WinRE status, run┬áreagentc /info. If the WinRE is configured, a “Windows RE status” field will appear in the output, with value “Enabled”. If WinRE is not configured, this field will have the value “Disabled”.
Workaround: It might be necessary to increase the size of the WinRE partition in order to avoid this issue and complete the installation. Note that 250 megabytes of free space is required in the recovery partition. Devices which do not have sufficient free space in the recovery partition can use a script to extend the partition size. A sample script has been provided in the documentation for adding an update package to WinRE, Extend the Windows RE Partition. Guidance to manually change the WinRE partition size can additionally be found in KB5028997: Instructions to manually resize your partition to install the WinRE update.

Next steps: We are working on a resolution and will provide an update in an upcoming release.

Affected platforms:

Client: Windows 11, version 21H2; Windows 10, version 22H2; Windows 10, version 21H2
Server: Windows Server 2022

https://learn.microsoft.com/en-us/windows/release-health/status-windows-10-22h2#3231msgdesc

KB5028997: Instructions to manually resize your partition to install the WinRE update

https://support.microsoft.com/en-us/topic/kb5028997-instructions-to-manually-resize-your-partition-to-install-the-winre-update-400faa27-9343-461c-ada9-24c8229763bf

Status Monday 15.01.2024 ————————————————————

Even if the patch was downloaded AND it failed to install in the past starting 15.01.2024 the server WILL NOT try install again. Even if the file is visible in Directory C:\Windows\SoftwareDistribution\Download (if you search for content “KB5034439” in files). MS somewhoe revoked the file direct. In WSUS Sync History we do not see the patch denied or revoked in SYNC report history since release date.

  • If you dont use BITLOCKER on Server YOU DO NOT need the patch. Leave the server and wait for 02/2024 patches. You are safe no risk.
  • If you use BITLOCKER and dont’ want to resize and play around with partitions: According to some MS info you may secure the Bitlocker envrioment also in this way.

https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d



<?xml version=”1.0″ encoding=”utf-8″ ?>

– <WinREServicingMetadata Version=”1.0″>

<Package CabName=”SSU-20348.2200-x64.cab” Partition=”WinRE” />

<Package CabName=”windows10.0-kb5034235-x64.cab” Partition=”WinRE” />

<Package CabName=”windows10.0-kb5034439-x64.cab” Partition=”MainOS” />

</WinREServicingMetadata>

Status Monday 15.01.2024 ————————————————————

We see this error on a:

  • SRV 21H2, 20348.2227, Windows Server 2022, English, VL, with no Recovery Partition
  • All installed fine BEFORE 01/2024 (Monthly on patch day)
  • All patches before 01/2024 installed fine today, except for the KB5034439

Explanation why this has a history and bad taste:

Months ago, when we first interacted with Windows Server 2022, it automatically installed a recovery partition, causing issues particularly on VMware because we were unable to resize the C: drive on a host afterwards. If you look at the partition layout, you understand why.

Screenshot shows a SRV 2022 with default Recovery partition.


Sample diskpart.exe


Or for the PS hungry:

Get-Partition | Ft

Get-Partition | Where-Object { $_.Type -eq “Recovery” }

In the typical setup of Windows Server 2022, this recovery partition is situated behind the system partition containing the Windows directory.

The past problem for Vmware/Storage Admins and why we removed it:

Its presence does not allow the expansion of the file system as example c:, a common requirement in virtual systems where disk resizing is frequent and space is adapted as needed to save storage space.

Why this was not a problem until now:

Given that we never utilize this Recovery partition in enterprise environments, aiming to conserve space, we made the decision to delete it. Why would you waste Terabytes of space when your run Veeam and Netapp Snapshots? In addition, some Storage Saver allmost weekly resize partitions so we needed a solution.

At that point, I asked people if this would be a smart idea because we do not know if future OS upgrades can handle this or may fall over it. ­čśë

The problem now in 2024:

There is an exploit targeting servers encrypted with BitLocker.

CVE-2024-20666 – Security Update Guide – Microsoft – BitLocker Security Feature Bypass Vulnerability

Key point: The attacker needs “physical” access to the metal standalone server or VM host via VCenter.

“A successful attacker could bypass the BitLocker Device Encryption feature on the system storage device. An attacker with physical access to the target could exploit this vulnerability to gain access to encrypted data.”

An attacker can leverage the recovery options to initiate a boot in that mode, subsequently gaining access to the encrypted file system. The recent patch from Microsoft addresses this vulnerability but introduces a new complicationÔÇöthe updated recovery partition is larger and demands more space to function effectively.

Error or Installation Failure when you try to install the patch:

Windows failed to install the following update with error 0x8024200B:

Current Workaround 14.01.2024

Latest info from MS:

KB5034439: Windows Recovery Environment update for Azure Stack HCI, version 22H2 and Windows Server 2022: January 9, 2024 – Microsoft Support


Regarding severity / critical / Security compared to risk

Keep in mind to attack the attacker needs “physical” access to the standalone server (KMS/Remote Video) or VM host via VCenter. Take special CARE of the physical Servers like DC, CA PKI which run Bitlocker because of security reason. There some people also have the Recovery Partition active because a Restore from Backup is always last option in Enterprise and should never happen.

If you don’t use BITLOCKER on Server:

  • If you do NOT use BITLOCKER SERVER encryption > LEAVE IT >┬áDo not touch. Wait for MS to fix.
  • You “MAY” remove the already downloaded patch from your WSUS-client with a batch > See END of blog for script. If you check your WSUS Server for the patch or Windows Update Catalog, it is not there anymore.
  • If you do not use Bitlocker. You are secure. JUST the patch will re-appear each time you search for updates. Nothing happens. Go back to sleep.

If you use BITLOCKER and dont’ want to resize and play around with partitions:

According to some MS info you may secure the Bitlocker envrioment also in this way.

https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d

I you have NO Recovery Partition:

Around 80% in Enterprise Environments with VMware and Storage.

Nothing happens, the patch will fail on install and server does reboot fine. Patch will just re-appear and fail. MS will provide an update which may remove the pre-install downloaded patch from your server.

You are secure even if you use Bitlocker because attacker cannot use the Reovery Partition to bypass Bitlocker.


If your server has already pulled the patch locally from WSUS, you “MAY” want to remove it manually from the WSUS-client’s download structure. See the end of the blog entry for a sample script (Use at your own risk). If you leave, it as it is it will just fail every time.

If you have a Recovery Partition at the end (Default)


Then you’ve likely never had to resize your C: or D:, and we assume it is a physical server or VM with low storage usage. This update requires 250 MB of free space
in the recovery partition to install successfully. If the recovery partition does not have sufficient free space, this update will fail

Try resizing it with a third-party tool from 512MB to something like 1.5GB with (You need 250MB+ free space)

https://gparted.org/livecd.php

GParted — A free application for graphically managing disk device partitions

comment: To do this right with just batch/Powershell or command it get’s a little bit more complicated because you will have to re-create the special recovery partition.

KB5028997: Instructions to manually resize your partition to install the WinRE update – Microsoft Support

TO Delete and re-create the “Recovery Partition” you would need “WinRe.wim” from MS media. Or you DUMP the current “Recovery Partition”, delete the partition and re-create it? Enough complex? Again > DO you need Bitlocker on Server? if NO leave it you DO NOT NEED the patch!

How we found out the error first:

The SRV we first observed had NO Recovery Partition at all. We initially thought those were NOT affected, similar to the client Recovery Update patch, which causes problems with too-small recovery partitions. However, KB5034439 does not mention the special case where customers do not have ANY Recovery Partition on Servers, which most large enterprises seem to have to save space. Only MS does not know or can waste Terrabyte or wants it that way so their sales for Cloud storage goes up 5%?



				

The way some Enterprise customer got the patch?

The KB table states that the KB will NOT be distributed through WSUS Server.

We wonder why our server got the patch. Maybe Self Update WSUS Mechanism? We could not find the patch in WSUS GUI after 11.01.2024 lunchtime.


Question to MS: Do you check in the KB5034439 IF the OS has a Recovery Partition at start or just begin and fail? ­čśë

https://support.microsoft.com/en-gb/topic/kb5034439-windows-recovery-environment-update-for-azure-stack-hci-version-22h2-and-windows-server-2022-january-9-2024-6f9d26e6-784c-4503-a3c6-0beedda443ca

SRV 2022 affected and attached to WSUS Server 2022. Please note the customer does not want a Recovery Partition.


Here a sample of a SRV 2022 with the Recovery Partition:


https://answers.microsoft.com/en-us/windowserver/forum/all/windows-update-failure-on-january-9-2024kb5034129/61af6d50-1f7d-4863-8efb-46869f65885c



Partition layout out of the BOX SRV 2022 Default installed Partition


Some links for client OS same problem:

https://support.microsoft.com/en-gb/topic/kb5034441-windows-recovery-environment-update-for-windows-10-version-21h2-and-22h2-january-9-2024-62c04204-aaa5-4fee-a02a-2fdea17075a8

https://borncity.com/win/2023/09/11/windows-11-update-error-due-to-winre-partition-explained-by-microsoft-kb5028997/

https://www.techpowerup.com/forums/threads/microsoft-did-it-again-beware-of-bugged-update-kb5034441.317633/

FAQ from MS:

What kind of security feature could be bypassed by successfully exploiting this vulnerability?

A successful attacker could bypass the BitLocker Device Encryption feature on the system storage device. An attacker with physical access to the target could exploit this vulnerability to gain access to encrypted data.

Are there additional steps that I need to take to be protected from this vulnerability?

Depending on the version of Windows you are running, you may need to take additional steps to update Windows Recovery Environment (WinRE) to be protected from this vulnerability.

For the latest of Windows the process of updating WinRE is now fully automated. The following versions of Windows require no additional steps as WinRE will be updated as a part of Latest Cumulative Update if you are getting updates from Windows Update and WSUS.:

  • Windows 11 Version 23H2 for x64-based Systems
  • Windows 11 Version 23H2 for ARM64-based Systems
  • Windows 11 Version 22H2 for x64-based Systems
  • Windows 11 Version 22H2 for ARM64-based Systems

For the following versions of Windows, Windows Recovery Environment updates listed below are available that automatically apply latest Safe OS Dynamic Update to WinRE from the running Windows OS:

Can a bootable Windows ISO or USB flash drive that boot to Windows RE be used to exploit this vulnerability?

No. The exploit is only possible with the winre.wim on the recovery partition of the device.

Can a vulnerable version of WinRE WIM file be used to exploit this vulnerability?

No. A BitLocker encrypted drive cannot be accessed via an arbitrary WinRE WIM file hosted on an external drive. Please complete all steps in┬áMicrosoft Learn |ÔÇ»Add an Update to Windows RE | Apply the update to a running PCÔÇ»to ensure that the updated Windows RE image is turned on and correctly configured for your Windows installation.

If TPM+PIN BitLocker protectors are being used, can the vulnerability be exploited if the attacker does not know the TPM PIN?

No.
To exploit the vulnerability the attacker needs to know the TPM PIN if the user is protected by the BitLocker TPM+PIN.

How do I check whether WinRE has successfully updated?

Use DISM /Get-Packages on a mounted WinRE image to ensure latest Safe OS Dynamic Update package is present. For more information, see Check the WinRE image version.

Batch Script to STOP WSUS-client, BITS and delete the already wrong Patch. We normally use this on client system and never in the past 30 years had to use such a reset of the download folder on a server
:: V1.0, 13.01.2024, www.butsch.ch
@echo off
echo Stopping Windows Update services...
net stop wuauserv
IF NOT %errorlevel% == 0 (
    echo An error occurred. Exiting script.
    exit /b %errorlevel%
)
net stop cryptSvc
IF NOT %errorlevel% == 0 (
    echo An error occurred. Exiting script.
    exit /b %errorlevel%
)
net stop bits
IF NOT %errorlevel% == 0 (
    echo An error occurred. Exiting script.
    exit /b %errorlevel%
)
net stop msiserver
IF NOT %errorlevel% == 0 (
    echo An error occurred. Exiting script.
    exit /b %errorlevel%
)
echo Renaming directories...
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
IF NOT %errorlevel% == 0 (
    echo An error occurred. Exiting script.
    exit /b %errorlevel%
)
echo Starting Windows Update services...
net start wuauserv
IF NOT %errorlevel% == 0 (
    echo An error occurred. Exiting script.
    exit /b %errorlevel%
)
net start cryptSvc
IF NOT %errorlevel% == 0 (
    echo An error occurred. Exiting script.
    exit /b %errorlevel%
)
net start bits
IF NOT %errorlevel% == 0 (
    echo An error occurred. Exiting script.
    exit /b %errorlevel%
)
net start msiserver
IF NOT %errorlevel% == 0 (
    echo An error occurred. Exiting script.
    exit /b %errorlevel%
)
echo Script completed successfully.

GERMAN / DEUTSCH


Sicherheitsprobleme mit Microsoft Patch KB5034439 f├╝r Server 2022

Microsoft Patch KB5034439 f├╝hrt auf Server 2022 zu Fehlern, insbesondere auf Servern ohne Wiederherstellungspartition oder mit zu kleiner Wiederherstellungspartition (kleiner oder gleich 0,5 GB).

Fehlercode: KB5034439, 0x8024200

Vor Monaten, als wir erstmals mit Windows Server 2022 interagierten, wurde automatisch eine Wiederherstellungspartition installiert, was insbesondere auf VMware zu Problemen f├╝hrte, da wir anschlie├čend das Laufwerk C: auf einem Host nicht mehr vergr├Â├čern konnten. Ein Blick auf die Partitionsstruktur erkl├Ąrt, warum.

Oder f├╝r PowerShell-Enthusiasten:

powershellCopy code

Get-Partition | Format-Table Get-Partition | Where-Object { $_.Type -eq “Recovery” }

In der typischen Konfiguration von Windows Server 2022 befindet sich diese Wiederherstellungspartition hinter der Systempartition mit dem Windows-Verzeichnis.

Das vergangene Problem f├╝r VMware/Storage-Administratoren und warum wir es entfernt haben:

Ihre Anwesenheit verhindert die Erweiterung des Dateisystems, wie zum Beispiel bei Laufwerk C:, eine h├Ąufige Anforderung in virtuellen Systemen, bei denen das ├ändern der Festplattengr├Â├če h├Ąufig vorkommt und der Speicherplatz bei Bedarf angepasst wird, um Speicherplatz zu sparen.

Warum dies bisher kein Problem war:

Da wir diese Wiederherstellungspartition in Unternehmensumgebungen nie nutzen und Platz sparen wollen, haben wir uns entschieden, sie zu l├Âschen. Warum sollten Sie Terabyte an Platz verschwenden, wenn Sie Veeam und Netapp Snapshots verwenden? Einige Storage-Saver ├Ąndern fast w├Âchentlich Partitionen, daher ben├Âtigten wir eine L├Âsung.

An diesem Punkt habe ich Menschen gefragt, ob dies eine kluge Idee w├Ąre, da wir nicht wissen, ob zuk├╝nftige Betriebssystem-Upgrades dies bew├Ąltigen k├Ânnen oder daran scheitern k├Ânnen. ­čśë

Das Problem jetzt im Jahr 2024:

Es gibt einen Angriff auf Server, die mit BitLocker verschl├╝sselt sind.

CVE-2024-20666 – Security Update Guide – Microsoft – BitLocker Security Feature Bypass Vulnerability

Hauptpunkt: Der Angreifer ben├Âtigt “physischen” Zugriff auf den eigenst├Ąndigen Server oder den VM-Host ├╝ber VCenter.

Ein erfolgreicher Angreifer k├Ânnte die BitLocker-Ger├Ąteverschl├╝sselung auf dem Speicherger├Ąt des Systems umgehen. Ein Angreifer mit physischem Zugriff auf das Ziel k├Ânnte diese Schwachstelle ausnutzen, um auf verschl├╝sselte Daten zuzugreifen.

Ein Angreifer kann die Wiederherstellungsoptionen nutzen, um einen Start in diesem Modus zu initiieren und anschlie├čend Zugriff auf das verschl├╝sselte Dateisystem zu erhalten. Das k├╝rzlich von Microsoft ver├Âffentlichte Patch behebt diese Schwachstelle, f├╝hrt jedoch zu einer neuen Komplikation: Die aktualisierte Wiederherstellungspartition ist gr├Â├čer und ben├Âtigt mehr Platz, um effektiv zu funktionieren.

Fehler oder Installationsfehler beim Versuch, das Patch zu installieren:

Windows konnte das folgende Update nicht installieren, Fehler 0x8024200B:

2024-01 Sicherheitsupdate f├╝r das Microsoft Server-Betriebssystem Version 21H2 f├╝r x64-basierte Systeme (KB5034439).

Wir sehen diesen Fehler auf einem:

SRV 21H2, 20348.2227, Windows Server 2022, Englisch, VL, ohne Wiederherstellungspartition

Alle vor 01/2024 installierten Patches (monatlich am Patch-Tag) haben sich gut installiert. Alle Patches vor 01/2024 haben sich heute gut installiert, au├čer dem KB5034439-Patch.

Aktuelle Workaround 14.01.2024:

Denken Sie daran, dass der Angreifer “physischen” Zugriff auf den eigenst├Ąndigen Server (KMS/Remote Video) oder den VM-Host ├╝ber VCenter ben├Âtigt. K├╝mmern Sie sich besonders um physische Server wie DC, CA PKI, die Bitlocker ausf├╝hren, aus Sicherheitsgr├╝nden. Einige Personen haben auch die Wiederherstellungspartition aktiviert, da eine Wiederherstellung aus dem Backup immer die letzte Option in Unternehmen ist und niemals passieren sollte.

Wenn Sie KEINE BITLOCKER SERVER-Verschl├╝sselung verwenden > Lassen Sie es > R├╝hren Sie es nicht an. Sie “K├ľNNEN” das bereits heruntergeladene Patch von Ihrem WSUS-Client mit einem Batch entfernen > Siehe ENDE des Blogs f├╝r das Skript. Wenn Sie Ihren WSUS-Server auf das Patch oder den Windows Update-Katalog ├╝berpr├╝fen, ist es nicht mehr vorhanden. Nichts passiert, wenn das Patch da ist und Sie Bitlocker nicht verwenden. Sie sind sicher, nur das Patch wird bei jeder Suche nach Updates wieder erscheinen. Das ist alles, nichts passiert. Schlaf weiter.

Wenn Sie KEINE Wiederherstellungspartition haben:

Etwa 80% in Unternehmensumgebungen mit VMware und Storage.

Nichts passiert, das Patch wird bei der Installation fehlschlagen und der Server startet problemlos. Das Patch wird einfach wieder erscheinen und fehlschlagen.

Sie sind sicher, auch wenn Sie Bitlocker verwenden, da der Angreifer die Wiederherstellungspartition nicht verwenden kann, um Bitlocker zu umgehen.

Wenn Ihr Server das Patch bereits lokal von WSUS abgerufen hat, m├Âchten Sie es m├Âglicherweise manuell aus der Downloadstruktur des WSUS-Clients entfernen. Siehe Ende des Blogbeitrags f├╝r ein Beispiel-Skript (auf eigene Gefahr verwenden). Wenn Sie es so lassen, wie es ist, wird es bei jeder Suche einfach fehlschlagen.

Wenn Sie eine Wiederherstellungspartition am Ende haben (Standard):

Dann mussten Sie wahrscheinlich Ihre C: oder D: noch nie vergr├Â├čern, und wir gehen davon aus, dass es sich um einen physischen Server oder eine VM mit geringer Speicherauslastung handelt.

Versuchen Sie, sie mit einem Tool von Drittanbietern von 512 MB auf etwas wie 1,5 GB zu vergr├Â├čern:

https://gparted.org/livecd.php

GParted — Eine kostenlose Anwendung zur grafischen Verwaltung von Festplattenpartitionen

Kommentar: Um dies richtig zu machen, wird es mit nur Batch/Powershell oder Befehl etwas komplizierter, da Sie die spezielle Wiederherstellungspartition neu erstellen m├╝ssen.

Um die “Wiederherstellungspartition” zu l├Âschen und neu zu erstellen, ben├Âtigen Sie “WinRe.wim” von MS-Medien. Oder Sie speichern die aktuelle “Wiederherstellungspartition”, l├Âschen die Partition und erstellen sie neu? Ausreichend komplex? Nochmals > Ben├Âtigen Sie Bitlocker auf dem Server? Wenn NEIN, lassen Sie es, Sie BEN├ľTIGEN DAS Patch NICHT!

Wie wir den Fehler zuerst entdeckt haben:

Der SRV, den wir zuerst beobachtet haben, hatte ├╝berhaupt keine Wiederherstellungspartition. Anfangs dachten wir, dass diese nicht betroffen w├Ąren, ├Ąhnlich wie bei der Client-Wiederherstellungsupdate-Patch, die Probleme mit zu kleinen Wiederherstellungspartitionen verursacht. Allerdings erw├Ąhnt KB5034439 nicht den speziellen Fall, dass Kunden KEINE Wiederherstellungspartition auf Servern haben, die die meisten gro├čen Unternehmen zu haben scheinen, um Platz zu sparen. Nur MS wei├č es nicht oder kann Terabyte verschwenden oder m├Âchte es so haben, damit der Verkauf von Cloud-Speicher um 5% steigt?

Wie einige Enterprise-Kunden das Patch erhalten haben?

Die KB-Tabelle besagt, dass das KB NICHT ├╝ber WSUS Server verteilt wird.

Wir fragen uns, warum unser Server das Patch erhalten hat. Vielleicht Selbstupdate-Mechanismus WSUS? Wir konnten das Patch nach dem 11.01.2024 Mittag nicht im WSUS-GUI finden.

Frage an MS: ├ťberpr├╝fen Sie im KB5034439, OB das Betriebssystem eine Wiederherstellungspartition hat oder beginnen Sie einfach und scheitern? ­čśë

Link zur Microsoft-Supportseite: https://support.microsoft.com/de-de/topic/kb5034439-windows-recovery-environment-update-for-azure-stack-hci-version-22h2-and-windows-server-2022-january-9-2024-6f9d26e6-784c-4503-a3c6-0beedda443ca

SRV 2022 betroffen und an WSUS Server 2022 angeschlossen. Beachten Sie, dass der Kunde keine Wiederherstellungspartition w├╝nscht.

Hier ein Beispiel f├╝r einen SRV 2022 mit Wiederherstellungspartition: https://answers.microsoft.com/en-us/windowserver/forum/all/windows-update-failure-on-january-9-2024kb5034129/61af6d50-1f7d-4863-8efb-46869f65885c

Partitionslayout Out-of-the-BOX SRV 2022 Standard installierte Partition

Einige Links f├╝r Client-Betriebssysteme mit demselben Problem:

FAQ von MS:

Welche Art von Sicherheitsfunktion k├Ânnte durch eine erfolgreiche Ausnutzung dieser Schwachstelle umgangen werden?

Ein erfolgreicher Angreifer k├Ânnte die BitLocker-Ger├Ąteverschl├╝sselung auf dem Speicherger├Ąt des Systems umgehen. Ein Angreifer mit physischem Zugriff auf das Ziel k├Ânnte diese Schwachstelle ausnutzen, um auf verschl├╝sselte Daten zuzugreifen.

Gibt es zus├Ątzliche Schritte, die ich unternehmen muss, um vor dieser Schwachstelle gesch├╝tzt zu sein?

Je nach Windows-Version m├╝ssen m├Âglicherweise zus├Ątzliche Schritte unternommen werden, um das Windows Recovery Environment (WinRE) zu aktualisieren und vor dieser Schwachstelle gesch├╝tzt zu sein.

F├╝r die neuesten Versionen von Windows ist der Prozess der Aktualisierung von WinRE nun vollst├Ąndig automatisiert. Die folgenden Versionen von Windows erfordern keine zus├Ątzlichen Schritte, da WinRE als Teil des neuesten kumulativen Updates aktualisiert wird, wenn Sie Updates von Windows Update und WSUS erhalten:

  • Windows 11 Version 23H2 f├╝r x64-basierte Systeme
  • Windows 11 Version 23H2 f├╝r ARM64-basierte Systeme
  • Windows 11 Version 22H2 f├╝r x64-basierte Systeme
  • Windows 11 Version 22H2 f├╝r ARM64-basierte Systeme

F├╝r die folgenden Versionen von Windows stehen automatische Updates f├╝r das Windows Recovery Environment zur Verf├╝gung, die das neueste Safe OS Dynamic Update automatisch auf WinRE ausf├╝hren:

  • Windows Server 2022 (Installation des Serverkerns) (KB5034439: Windows Recovery Environment Update f├╝r Azure Stack HCI, Version 22H2 und Windows Server 2022: 9. Januar 2024)
  • Windows Server 2022 (KB5034439: Windows Recovery Environment Update f├╝r Azure Stack HCI, Version 22H2 und Windows Server 2022: 9. Januar 2024)
  • Windows Server 2022, 23H2 Edition (Installation des Serverkerns) (KB5034439: Windows Recovery Environment Update f├╝r Azure Stack HCI, Version 22H2 und Windows Server 2022: 9. Januar 2024)
  • Windows 11 Version 21H2 f├╝r x64-basierte Systeme (KB5034440: Windows Recovery Environment Update f├╝r Windows 11, Version 21H2: 9. Januar 2024)
  • Windows 10 Version 22H2 f├╝r x64-basierte Systeme (KB5034441: Windows Recovery Environment Update f├╝r Windows 10, Version 21H2 und 22H2: 9. Januar 2024)
  • Windows 10 Version 22H2 f├╝r 32-Bit-Systeme (KB503444

Kann eine bootf├Ąhige Windows ISO oder ein USB-Flash-Laufwerk, das zu Windows RE bootet, dazu verwendet werden, diese Schwachstelle auszunutzen?

Nein. Die Ausnutzung ist nur mit der winre.wim auf der Wiederherstellungspartition des Ger├Ąts m├Âglich.

Kann eine anf├Ąllige Version der WinRE-WIM-Datei dazu verwendet werden, diese Schwachstelle auszunutzen?

Nein. Auf eine mit BitLocker verschl├╝sselte Festplatte kann nicht ├╝ber eine beliebige WinRE-WIM-Datei zugegriffen werden, die auf einem externen Laufwerk gehostet wird. F├╝hren Sie alle Schritte unter Microsoft Learn durch | F├╝gen Sie ein Update zu Windows RE hinzu | Wenden Sie das Update auf einem laufenden PC an, um sicherzustellen, dass das aktualisierte Windows RE-Image aktiviert und korrekt f├╝r Ihre Windows-Installation konfiguriert ist.

Wenn TPM+PIN BitLocker-Schutzmechanismen verwendet werden, kann die Schwachstelle ausgenutzt werden, wenn der Angreifer die TPM-PIN nicht kennt?

Nein. Um die Schwachstelle auszunutzen, muss der Angreifer die TPM-PIN kennen, wenn der Benutzer durch BitLocker TPM+PIN gesch├╝tzt ist.

Wie ├╝berpr├╝fe ich, ob WinRE erfolgreich aktualisiert wurde?

Verwenden Sie DISM /Get-Packages auf einem eingebundenen WinRE-Image, um sicherzustellen, dass das neueste Safe OS Dynamic Update-Paket vorhanden ist. Weitere Informationen finden Sie unter ├ťberpr├╝fen der WinRE-Image-Version.


 Category published:  Hotfixes, Updates Microsoft Server OS Server 2022 [21H2/22H2/32H2] WSUS   Click on the Category button to get more articles regarding that product.