[English]Das zum 9. Januar 2024 per automatischem Update (z.B. KB5034441) gegen eine BitLocker Security Feature Bypass-Schwachstelle CVE-2024-20666 in der WinRE-Partition ausgerollte Sicherheitsupdate scheitert auf vielen Systemen mit dem Installationsfehler 0x80070643. Ist irgendwie ein Desaster mit Ansage – und viele Nutzer bzw. Nutzerinnen sind nicht in der Lage, diesen Installationsfehler zu beheben. Letzte Woche hat Microsoft dann noch PowerShell-Scripte veröffentlicht, die Ursache für den Installationsfehler 0x800706431 beheben sollen. In einem Nachtrag fasse ich diesbezüglich einige Informationen zusammen.
Anzeige
Worum geht es bei CVE-2024-20666
In Windows gibt es eine BitLocker Security Feature Bypass-Schwachstelle CVE-2024-20666, die es einem Angreifer mit physischem Zugriff auf das System ermöglicht, über die BitLocker Device Encryption-Funktion Zugriff auf mit BitLocker verschlüsselte Daten zu erhalten. Potentiell betroffen sind Windows 10, Windows 11 und Windows Server 2016, 2019, 2022.
Zum Beseitigen der Schwachstelle soll ein Update dafür sorgen, dass die Windows Recovery Environment (WinRE) aktualisiert wird. Microsoft hat dazu unter KB5034441 einige Hinweise veröffentlicht und rollt einen entsprechenden Patch per Windows Update auf alle Geräte aus. Im Beitrag zu CVE-2024-20666 heißt es von Microsoft, dass die Aktualisierung der WinRE-Umgebung für Windows 11 22H2 und 23H2 automatisch erfolgen soll.
Für Windows 10 21H2 – 22H2, Windows 11 21H2 und Windows Server 2022 (samt der 23H2-Edition) sind Updates für die Windows-Wiederherstellungsumgebung verfügbar, die automatisch das neueste dynamische Safe OS-Update vom laufenden Windows-Betriebssystem auf WinRE anwenden sollen. Details sind im Beitrag zu CVE-2024-20666 zu finden.
Update wirft Installationsfehler 0x80070643
Seit dem 9. Januar 2024 scheitert die automatische Installation der betreffenden Sicherheitsupdates unter Windows bei vielen Anwender mit dem Installationsfehler 0x80070643. Hier im Blog finden sich entsprechende Kommentare (siehe z.B. hier), verteilt auf die am Beitragsende verlinkten Blog-Beiträge. Als Ursache kristallisieren sich folgende Ursachen heraus:
- Das System verfügt nicht über eine Wiederherstellungspartition, die groß genug ist, um um dieses Update abzuschließen.
- Es ist keine WinRE-Partition auf dem System verfügbar oder diese Partition ist nicht mit den richtigen Flags aktiviert.
Ich hatte im Blog-Beitrag Windows WinRE-Update gegen CVE-2024-20666 scheitert mit Installationsfehler 0x80070643 (Jan. 2024, KB5034441) einige Hinweise gegeben, wie erfahrene Nutzer die Ursache für die Fehlermeldung
0x80070643 – ERROR_INSTALL_FAILURE
Windows Recovery Environment servicing failed.
(CBS_E_INSUFFICIENT_DISK_SPACE)
beheben könnten (Größe der WinRE-Partition anpassen und ggf. aktivieren). Auch die Kollegen von deskmodder.de arbeiten sich in diesem Beitrag am Thema ab und haben die Anleitung von Microsoft in diesem Artikel verbessert. Inzwischen hat auch Microsoft die Beschreibung im Beitrag zu CVE-2024-20666 sowie unter KB5034441 überarbeitet.
Manche Nutzer berichten auch, dass ihnen das fehlerhafte Update nicht mehr angeboten werden. Ob das Update zurückgezogen wurde, ist mir nach wie vor unklar. Nutzer, bei denen sich das Update immer wieder installieren will, können versuchen, dieses in nicht verwalteten Umgebungen unter Windows 10 / 11-Version mittels des Microsoft Tools Show or Hide Updates zu blockieren.
Microsofts PowerShell-Scripte sollen es richten
Im Laufe der Woche hat Microsoft dann PowerShell-Scripte veröffentlicht, die die Ursachen für den Installationsfehler 0x80070643 beseitigen sollen. Ein Blog-Leser hatte in diesem Kommentar auf diesen heise-Beitrag zum Thema hingewiesen. Ich hatte das Thema zum 11. Januar 2023 bei Bleeping Computer in diesem Beitrag gesehen.
Anzeige
Microsoft bietet nun im Supportbeitrag KB5034957: Updating the WinRE partition on deployed devices to address security vulnerabilities in CVE-2024-20666 gleich zwei PowerShell-Scripte an, um die Aktualisierung der Windows-Wiederherstellungsumgebung (WinRE) im Hinblick auf CVE-2024-20666 zu automatisieren. Es gibt dabei zwei PowerShell-Scripte:
- PatchWinREScript_2004plus.ps1 für Windows 10 Version 2004 und spätere Versionen, einschließlich Windows 11. Diese Variante wird empfohlen.
- PatchWinREScript_General.ps1 für Windows 10, Version 1909 und frühere Versionen, kann aber auf allen Versionen von Windows 10 und Windows 11 ausgeführt werden.
Laut der Beschreibung Microsofts führt das PowerShell-Script dann folgende Operationen durch:
- Mounted das vorhandene WinRE-Abbild (WINRE.WIM)
- Aktualisiert das WinRE-Image mit dem angegebenen Paket für das dynamische Betriebssystem-Update (Kompatibilitätsupdate), das im Windows Update-Katalog verfügbar ist.
- Deaktiviert das WinRE-Image
- Ist BitLocker-TPM aktiv, wird WinRE für den BitLocker-Dienst neu konfiguriert
Im kaum dokumentierten Script-Code lässt sich erkennen, dass die WinRE-Partition mit folgendem Befehl:
Dism /image:$mountDir /cleanup-image /StartComponentCleanup /ResetBase
zudem bereinigt wird. Der Support-Beitrag KB5034957 listet noch Parameter auf, die ein Administrator zur Ausführung des PowerShell-Scripts in der PS-Konsole angeben soll. Ein Aufruf könnte so aussehen:
.\PatchWinREScript_2004plus.ps1 -packagePath "\\server\share\windows10.0-kb5021043-x64_efa19d2d431c5e782a59daaf2d.cab
Rafael weist in diesem Kommentar darauf hin, dass sich das Safe OS-Paket im Windows Update Catalog für die betreffende Windows-Version herunterladen lässt.
Die Kollegen von Bleeping Computer verweisen in ihrem Artikel zudem auf einen zweiten Ansatz Fixing WinRE Update Issues for CVE-2024-20666 and KB5034441 auf der Seite action1.com, wo ebenfalls PowerShell-Scripte zur Behebung des Problems angeboten werden.
Meine 2 Cents
Dieser Ansatz wird sich für normale Nutzer nicht verwenden lassen, da er schlicht zu kompliziert ist. Speziell Nutzer im Umfeld der Consumer, bei denen die Systeme eh nicht mit Bitlocker verschlüsselt sind, werden mit den obigen Ansätzen nichts anfangen können. Hier ist es für mich absolut unverständlich, dass Microsoft ein solches Update am ersten Patchday nach Weihnachten und dem Jahreswechsel breit per Windows Update ausrollt und einer große Zahl Nutzern Installationsfehler beschert.
In meinen Augen wird Microsoft da kräftig nachbessern müssen. Der Ansatz, Nutzer in eine administrative Eingabeaufforderung zu jagen, um dort mit Partitionen oder PowerShell-Scripten zu operieren, ist schlicht ein Offenbarungseid von Redmond. Die blasen zwar die Backen mit den Möglichkeiten von Copilot auf, schaffen es aber nicht einmal, ein Update-Programm, welches die Schwachstelle zuverlässig beseitigt, bereitzustellen.
Wie ist bei euch der Status, habt ihr das Update fehlerfrei installieren können und falls ja, auf welchem Weg? Auf meinem Windows 10 2019 IoT LTSC wird das Update übrigens nach wie vor nicht angeboten.
Ähnliche Artikel:
Office Update KB5002500 vom 2. Januar 2023 fixt OneNote 2016 Sync-Problem
Microsoft Security Update Summary (9. Januar 2024)
Patchday: Windows 10-Updates (9. Januar 2024)
Patchday: Windows 11/Server 2022-Updates (9. Januar 2024)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (9. Januar 2024)
Windows WinRE-Update gegen CVE-2024-20666 scheitert mit Installationsfehler 0x80070643 (Jan. 2024, KB5034441)
Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
