BEGIN:VCALENDAR
VERSION:2.0
METHOD:PUBLISH
PRODID:- PBCS IT-News //NONSGML Events //EN
CALSCALE:GREGORIAN
X-WR-CALNAME:ICAL-BLOG
BEGIN:VEVENT
UID:1543be69-fae3-4565-ba2e-7b5379c07f08
DTSTAMP:20260514T105849Z
CREATED:20260514T105849Z
SUMMARY:Microsoft WinRE Update scheitert
DESCRIPTION:https://wp.pbcs.de/microsoft-winre-update-scheitert/ - Artikel vom: So.\, 14. Januar 2024\, 11:43:42 - Am Januar #Patchday 2024 lieferte Microsoft ein zusätzliches Security Update KB5034441 aus\, das eine Sicherheitslücke in der Windows-Recovery-Partition schließt. Bei zahlreichen Umgebungen scheitert das Update mit #Fehler 0x80070643 (zu wenig Platz auf der Recovery Partition). Betroffen sind auch Azure Virtual Desktops und Windows Server 2022!\n \n\n \nScheinbar haben die Entwickler von Microsoft nicht darüber nachgedacht\, dass es Windows 10 Systeme gibt\, die teilweise von Windows 7 aktualisiert wurden. Auch neue Windows 10 OEM-System der Hersteller haben meist eine 250 MB große Recovery-Partition am Anfang der SSD. Vergrößern scheitert somit mit Bordmitteln. Wiederum viele User haben damals die WinRE-Partition gelöscht oder überhaupt nicht erst mit installiert. Der Patch von Microsoft berücksichtigt ALLE diese Szenarien nicht. Sogar in Azure Virtual Desktops\, die aus der Microsoft Vorlage installiert wurden\, ist die Partition zu klein. \n \nDie Sicherheitslücke selbst lässt sich indes nur ausnutzen\, wenn der Bitlocker aktiviert ist. Da die WinRE-Partition unverschlüsselt ist\, kann man\, wenn man physikalischen Zugriff auf das Endgerät hat. Somit kann die BitLocker-Geräteverschlüsselung umgangen und auf verschlüsselte Informationen auf dem Datenträger zugegriffen werden. \n \nWurde die WinRE-Partition entfernt\, existiert auch die Sicherheitslücke nicht. Dennoch versucht Microsoft andauernd\, dieses Update zu installieren. Dies lässt sich nur mit dem Microsoft Werkzeug WSUSHIDESHOW.diagcab verhindern\, das das Update versteckt.\n \nDie von Microsoft vorgeschlagenen Lösungen und Scripte scheitern immer dann\, wenn - wie meistens die WinRE-Partition am Anfang liegt. In dem Fall benötigt man Drittanbieter Partitions-Werkzeuge\, um sie auf einen freien Bereich zu verschieben oder die Windows-Partition zu verkleinern. Das birgt bei Bitlocker verschlüsselten Systemen auch hohe Risiken. \n \n\nFazit: Wir hoffen\, dass Microsoft diesen Patch nochmal repariert und eine sinnvolle Erkennung einbaut\, ob überhaupt Bitlocker aktiv UND eine WinRE Partition vorhanden ist. Mit reagentc /info findet man das heraus.\n \nScheitern alle manuellen Lösungen von Microsoft und müsste man mit Drittanbieter Partitionstools arbeiten\, ist es eher empfehlenswert\, sich von der WinRE-Partition zu trennen\, diese zu löschen\, reagentc /disable einzugeben und das Update zu verstecken. Schließlich ist ja auch auf einem Bitlocker gesicherten System dann keine Sicherheitslücke existent.\nEPIC Fail Patch: https://support.microsoft.com/help/5034441Microsoft Bastelanleitung: https://support.microsoft.com/help/5028997
LOCATION:https://wp.pbcs.de
CATEGORIES:Gelbe Kategorie
TRANSP:TRANSPARENT
X-MICROSOFT-CDO-BUSYSTATUS:FREE
SEQUENCE:0
CLASS:PUBLIC
PRIORITY:1
DTSTART:20260515T070000Z
DTEND:20260515T080000Z
BEGIN:VALARM
TRIGGER:-PT30M
ACTION:DISPLAY
DESCRIPTION:Reminder for Microsoft WinRE Update scheitert
END:VALARM
END:VEVENT
END:VCALENDAR