Windows Sicherheitsupdate KB5012170 für Secure Boot DBX (9. August 2022)

Update[English]Noch ein kurzer Nachtrag vom Patchday, 9. August 2022. Dort wurde auch ein Sicherheitsupdate für das Secure Boot Modul durch Microsoft bereitgestellt. Es ist ein Sicherheitsupdate für den Secure Boot (DBX), der von Windows auf UEFI-Maschinen genutzt werden kann. Das Update betrifft alle Windows-Versionen, die noch im Support sind. Ergänzung: Es gibt bei manchen Nutzern Installationsfehler – beachtet die Kommentare.


Anzeige

Ein anonymer Blog-Leser hat in diesem Kommentar auf das Sicherheitsupdate KB5012170 (Security update for Secure Boot DBX: August 9, 2021) hingewiesen. Hier einige Informationen dazu.

Der Hintergrund zum Update KB5012170

Windows-Geräte mit UEFI (Unified Extensible Firmware Interface)-basierter Firmware können mit aktiviertem Secure Boot betrieben werden. Die Secure Boot Forbidden Signature Database (DBX) verhindert das Laden von UEFI-Modulen. Das Sicherheitsupdate KB5012170 (Security update for Secure Boot DBX: August 9, 2022) bringt Verbesserungen am Secure Boot DBX für die unterstützten Windows-Versionen, indem es neue Module zur DBX hinzufügt.

Der Grund für diese Ergänzung: Es gibt eine Schwachstelle bei der Umgehung von Sicherheitsfunktionen beim sicheren Booten. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte den sicheren Startvorgang umgehen und nicht vertrauenswürdige Software laden. Details zu dieser Schwachstelle lassen sich in folgenden Dokumenten:

nachlesen. Ergänzung: Die Kollegen von Bleeping Computer haben hier noch einige Informationen zu den geschlossenen Schwachstellen zusammen getragen.


Anzeige

Betroffene Windows-Versionen

Das Sicherheitsupdate KB5012170 steht für die nachfolgenden Windows-Versionen zur Verfügung, wenn diese auf UEFI-Hardware installiert sind.

  • Windows Server 2012
  • Windows 8.1 and Windows Server 2012 R2
  • Windows 10, version 1507
  • Windows 10, version 1607 and Windows Server 2016
  • Windows 10, version 1809 and Windows Server 2019
  • Windows 10, version 20H2
  • Windows 10, version 21H1
  • Windows 10, version 21H2
  • Windows Server 2022
  • Windows 11, version 21H2 (original release)
  • Azure Stack HCI, version 1809
  • Azure Stack Data Box, version 1809 (ASDB)

Windows 7 oder 32-Bit-Windows-Versionen werden nicht unterstützt. Das Update wird per Windows Update, per WSUS, im Microsoft Update Catalog und per Windows Update for Business bereitgestellt.

Was zu beachten ist

Wer das Update installieren möchte, sollte die Hinweise in KB5012170 lesen. Manche OEM-Firmware (Original Equipment Manufacturer) lässt die Installation dieses Updates möglicherweise nicht zu. Wenden Sie sich an Ihren Firmware-OEM, um dieses Problem zu lösen.

Die obige Bemerkung ist auch auf die Fälle gemünzt, wo der Installationsfehler 0x800f0922 gemeldet wird – siehe auch die nachfolgenden Kommentare.

Aufpassen sollte man auch, wenn die BitLocker-Gruppenrichtlinie "TPM-Plattformvalidierungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren" aktiviert und PCR7 per Richtlinie ausgewählt ist. Dies kann dies dazu führen, dass der BitLocker-Wiederherstellungsschlüssel auf einigen Geräten erforderlich ist, auf denen eine PCR7-Bindung nicht möglich ist (ich verorte z.B. diese Meldung in diesen Bereich). Details lassen sich im KB-Beitrag nachlesen.

Ähnliche Artikel:
Microsoft Office Updates (2. August 2022)
Microsoft Security Update Summary (9. August 2022)
Patchday: Windows 10-Updates (9. August 2022)
Patchday: Windows 11/Server 2022-Updates (9. August 2022)
Windows 7/Server 2008R2; Windows 8.1/Server 2012R2: Updates (9. August 2022)
Patchday: Microsoft Office Updates (9. August 2022)

Windows Sicherheitsupdate KB5012170 für Secure Boot DBX (9. August 2022)
Update KB5012170 für Secure Boot DBX verursacht Bitlocker-Probleme
Windows Update KB5012170 (Secure Boot DBX) mit neuer Revision im WSUS (Okt. 2022)
Windows 11 22H2: Secure Boot DBX Update KB5012170 (Dez. 2022)
Bestätigt: Secure Boot DBX Update KB5012170 sorgt für Installationsärger (Error 0x800F0922)


Anzeige

Dieser Beitrag wurde unter Sicherheit, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

27 Antworten zu Windows Sicherheitsupdate KB5012170 für Secure Boot DBX (9. August 2022)

  1. Marc sagt:

    Es scheint tatsächlich zu einigen Installationsproblemen zu kommen (https://answers.microsoft.com/en-us/windows/forum/all/error-0x800f0922-when-installing-windows-update/5a8092a8-8f42-4451-ac1a-db2ca397096d), höre ich teilweise auch aus dem Bekanntenkreis, scheint aber (bisher) keine hohe Zahl Betroffener zu sein. Habe auch eine Maschine (Windows 10, version 21H2) die das Update nicht installieren möchte und immer den Fehler "0X800f0922" ausgibt.

    Konnte bisher keine konkurrierende Gruppenrichtlinie finden und zumindest keine offensichtlichen Firmware-Probleme. Weder Problembehandlung noch sonstige gängigen Methoden (wie DISM/SFC, Updates aller Treiber, Firmware-Updates inkl. UEFI) haben weitergeholfen.

    Gibt es dazu ggf. weitere Informationen oder Ideen?

    • Günter Born sagt:

      Siehe meine Hinweise im nächsten Kommentar-Thread.

      • Marc sagt:

        Danke! Habe die Kommentare gelesen.

        Die Maschine ist tatsächlich UEFI, allerdings ist ein Teil der Platten GPT- und ein Teil MBR-formatiert – leider auch die Systemplatte inkl. Partitionen. Das könnte also tatsächlich die Ursache des Problems sein (Partionen sind alle korrekt angelegt und groß genug). Die anderen Maschinen waren entweder rein MBR/BIOS oder komplett UEFI/GPT (wurde überall zum Download angeboten und auch problemlos installiert, nur bei diesem "Hybrid-System" geht es nicht).

        Hab eben mal geschaut, ob MBR2GPT eine Validierung (mit Möglichkeit der Konvertierung) zulässt, was aber nicht der Fall ist. Ich schaue mal weiter was sich machen lässt (falls jemand Tipps hat, gerne her damit).

  2. Pitti sagt:

    Hallo !
    Dieses Update verursacht bei mir Fehler 0x800f0922 ( Win 10 21H2 )
    Bin noch bei der "Ursachenforschung", vermute das bei mir die vom System reservierte Partition zu klein ist ( 50MB, zur Hälfte gefüllt ) ?! Lt. Internet sollte diese wohl mindestens 500 MB unfassen, warum Win die bei Neuinstallation so klein angelegt hat ist mir einRätsel ….
    Alles Gute, Bleibt Gesund

    • Günter Born sagt:

      Das Thema "System reserviert" Partition zu klein war auch das Erste, was mir nach dem Kommentar von Marc durch den Kopf schoss – denn es ist ja ein generischer Installationsfehler, der auf kaputte Systemdateien, einen ungültigen Update-Store mit den Update-Paketen oder eben auf Platzmangel zurückzuführen ist.

      In dem von Marc verlinkten MS Answers-Forenthread hat ein chinesischer Nutzer eine mögliche Ursache gemeldet: Er betreibt sein System im BIOS-Modus (CSM), das Update ist aber für UEFI-Systeme.

      i solved it

      my system drive is MBR not GPT, the patch KB5012170 is about UEFI, so if you want to update this patch you must change sys drive to GPT

      but there is another problem happenned,

      my 4k monitor cant show graphic,only 1080P monitor can work same graphic card same port (DP)

      Deckt sich auch mit der Information, dass das Update nicht auf allen Systemen anwendbar ist – dann hilft nur eine Nachfrage beim Board-Hersteller.

      • Pitti sagt:

        Nur ganz kurz – Mein Laufwerk ist auch MBR , vielleicht auch ein Ansatzpunkt ?!
        Könnte es ja mittels Aomei Partitionsmanger auf GPT umwandeln, schrecke aber ehrlich gesagt davor zurück ?! Aomei sagt zwar das dies ohne Datenverlust gehen soll, aber ich bin etwas skeptisch…
        Mal sehen

        • Bolko sagt:

          Wenn du MBR benutzt, dann funktioniert kein Secure Boot, du bist also von dem Bug gar nicht betroffen und brauchst folglich auch dieses optionale Update nicht.

          • Pitti sagt:

            Hallo !
            Verstehe ich nicht so recht, da es mir nicht als optionales Update angeboten wurde sondern erschien gleichzeitig mit 3 oder 4 anderen ( auch kumulativen ) Updates ?! Warten Sie mal habe ich ( glaube ich ) notiert das waren am 09.08.2022 KB 890830 und KB 5015730 und KB 5016616 und eben auch KB 5012170. Während die ersten drei problemlos durchliefen macht halt letzteres besagte Probleme ?! Und ja Win 10 ist zugegebenermaßen noch relativ neu für mich da ich erst vor kurzen von Win 7 nach Win 10 wechselte …Hatte aber keine Möglichkeit KB 5012170 abzuwählen ?! Oder mache ich jetzt einen Denkfehler ….

          • Günter Born sagt:

            Es sieht so aus, als ob das Update (fälschlich) auf BIOS-Systemen angeboten wird. Schau, ob Du das Update mit wushowhide.diagcab ausgeblendet bekommst. MS hat das Tool zwar entfernt, da man nicht will, dass Nutzer Updates ausblenden.

            Aber das Tool ist hier erhältlich.

          • Kevin sagt:

            Auf meinem H97 Mainboard hatte ich letzte Woche nach 0x800f0922 den KB5102170 ausgeblendet.
            Die C: Platte, ein SSD-RAID, ist MBR.
            Nun hab ich eben im BIOS nachgesehen: der Boot-Modus war auf "Secure" eingestellt.
            Lt. msinfo32 war Secure Boot zwar nicht aktiv (eben MBR), aber das hat wohl Windows gereicht,
            um den KB5012170 zu selektieren.
            Jedenfalls wollte ich den per wushowhide ausgeblendeten KB5012170 wieder einblenden,
            er wird mir aber von wushowhide nun gar nicht mehr angezeigt,
            auch Get-HotFix |Sort-Object installedon zeigt mir den nicht mehr an.

      • Andreas sagt:

        Ich betreibe ein Dual-Boot-System mit Windows 7 (SSD 1, 250 GB, MBR) und Windows 10 21H2 (SSD 2, 1 TB, MBR). Zusätzlich gibt es noch eine 3 TB Magnetplatte die (wegen der Größe zwangsläufig) mit GPT eingerichtet wurde. Bei mir machte KB 5012170 keine Probleme. Allerdings hat die "System-reserviert" Partition von Windows 10 eine Größe von 565 MB und die System-Partition ist zu 69% frei.

        • Marc sagt:

          Danke für das Feedback. Dann scheint es ja grundsätzlich auch mit den "hybriden" Systemen zu funktionieren. Bzgl. der Partitionsgrößen ist es bei mir ähnlich, funktioniert dennoch nicht. Habe gerade keine Idee, was dann das eigentliche Problem sein könnte.

  3. Anonymous sagt:

    jetzt auch als known issue
    https://support.microsoft.com/en-us/topic/kb5012170-security-update-for-secure-boot-dbx-august-9-2022-72ff5eed-25b4-47c7-be28-c42bd211bb15

    "When attempting to install this update, it might fail to install, and you might receive Error 0x800f0922.

    Note This issue only affects this security update for Secure Boot DBX (KB5012170) and does not affect the latest cumulative security updates, monthly rollups, or security-only updates released on August 9, 2022.

    This issue can be mitigated on some devices by updating the UEFI bios to the latest version before attempting to install this update.

    We are presently investigating and will provide an update in an upcoming release"

    • Günter Born sagt:

      Danke für die Information – also wird das bestätigt, wass ich oben skizziert hatte bzw. was sich abzeichnet.

      • Pitti sagt:

        Hm, also warte ich jetzt einfach erst einmal ab in Hoffen das MS den Fehler selber bereinigt, bevor ich zu größeren Festplattenaktionen schreite ….( weil dann hätte mir ja das Update gar nicht angeboten werden dürfen oder …?! ) , da ich ja noch mit BIOS und MBR "unterwegs" bin …
        Oder habe ich das jetzt doch falsch verstanden ?
        Alles Gute, Bleibt Gesund

        • Pitti sagt:

          Ergänzend, scheint wohl mehr am BIOS zuliegen, meins ist schon recht betagt – letzte Version 2016, da kommt auch nix mehr. Beim Rechner meiner Frau ( auch BIOS mit MBR – BIOS Stand 2019 ) lief das Update problemlos durch, allerdings ist Ihre reservierte Partition größer als meine, so das diese Varainte ( gedanklich ) noch nicht ganz beerdigt ist.
          Ich warte jetzt einfach ab was passiert bevor ich zu Taten schreite ….
          Ach ja und vielen Dank für den Tipp mit d. Update Tool….
          Alles Gute Bleibt Gesund

  4. huomidi sagt:

    Win10 21H2, BIOS; KEIN UEFI-Laptop, ca. 6-7 Jahre alt, kein BIOS-update verfügbar!
    Trotzdem sehe ich seitdem 9.8. jeden Tag (zuletzt 12.8.) den erfolglosen Versuch, das KB erneut automatisch zu installieren.
    Fehler bei der Installation am ‎09.‎08.‎2022 – 0x800f0922

  5. Micha sagt:

    KB5012170 wurde erfolgreich unter Windows 8.1 Pro x64 Installiert. Der PC läuft im CSM Modus. Alle Festplatten sind als MBR formatiert.

    Auf dem gleichen PC läuft noch meine Windows 11 Pro x64 Testinstallation. Da gab es auch keine Probleme.

  6. Valley sagt:

    Bei mir ist der Patch KB5012170 erfolgreich installiert und will jetzt nochmal installiert werden. Das schlägt aber fehl, wie kann ich das neue Installieren der bereits installierten KB5012170 verhindern?

    • Valley sagt:

      Ich möchte mich jetzt nochmal äußern zu dem der Patch KB5012170. Heute habe ich wieder nach Updates gesucht und jetzt ist der Updateversuch für den Patch KB5012170 verschwunden und es wurde KB5018410 installiert.

  7. Klaus Beschmann sagt:

    Mein PC mit I7-Prozessor ist aus 2013 (Core i7-3770 CPU), da gibt es nur BIOS und kein UEFI. Das System hat auch kein TPM-Modul, also auch keine Tauglichkeit für Windows 11. Warum mir das Update für Windows 10 die ganze Zeit angeboten wird (und natürlich mit immer demselben Fehler abbricht), ist mir ein Rätsel.

  8. V. Welter sagt:

    Hoffentlich habt Ihr Euch mit dem KB nicht Eure Rechner versemmelt:
    Laut c't 20/2022 S. 14 f. werden mit dem KB5012170 über 100 Bootloader auf die schwarze Liste gesetzt. Auch aktuelle Ubuntu LTS 20.04 oder c't's Desinfec't-Medium soll mit Secure Boot nicht mehr starten.
    Deinstallation des KB nutzt nichts, da die Liste in die Firmware geschrieben wird.

    oder anders:
    Secure Boot lässt dann nur noch zertifizierte Bootloader zu – und davon gibt es nur einen: von Microsoft. – Na, klingelt's?

    Wer also den oben erwähnten Error erhält, kann sich möglicherweise erst einmal glücklich schätzen…

  9. joffe gruenfron sagt:

    In meinem Fall habe ich auf drei Notebooks (HP) Dual-Boot Windows-10 und LinuxMint-Cinnamon (mit full disk encryption) mit aktiviertem Secure-Boot laufen. Hier habe ich meine eigenen Keys 'enrolled' und die MS-Keys mit eingepflegt weshalb Secure-Boot für Windows und Linux klappt. Allerdings kann das KB5012170 jetzt nicht mehr die DBX database modifizieren (daher Fehler 0x800f0922), da ich der Platform-Owner bin. Da hilft auch kein BIOS-Update des Herstellers…

    Das ist eine echte Frechheit, gelinde gesagt.

    • Dave84620 sagt:

      Ich kann den Zusammenhang bestätigen. Ausgangssituation war ein HP ProBook 650 G2, frisch installiert von einer Festplatte mit Ventoy. Mit aktiviertem Secure Boot musste ich auch hier das Zertifikat importieren, damit er den Startvorgang der Ventoy-Oberfläche zugelassen hat. Immer und immer wieder brach die Installation des Patches KB50212170 mit dem Fehler 0x8023200B ab, bis ich auf diesen Thread gestoßen bin. Nachdem ich im BIOS-Setup unter "Secure Boot Configuration" den Menüpunkt "Clear Secure Boot Keys" einmal aktiviert und neu gestartet habe, lief das Update problemlos durch.
      Die Möglichkeit hatte ich natürlich nur, da ich das Zertifikat nur einmal bei der Neuinstallation brauchte. Ansonsten wäre das keine Option gewesen. Absolut irreführende Fehlermeldung, da im Microsoft-Update-Fenster "Downloadfehler" angezeigt wurde.

      Verrückt. Microsoft.

  10. huomidi sagt:

    Mir geht es nach wie vor (Update-Termin 12.10.22) so wie Klaus Beschmann:
    Medion Laptop I7 3… , kein UEFI, ursprünglich Win7, dann sofort Win8 und 8.1, seit ca. 4 Monaten Win10 Pro. Natürlich kein BIOS-Update mehr verfügbar!
    Ich setze das Update jetzt immer bis zum 2. Mittwoch des Monats aus, damit nicht täglich die Fehlversuche des vertrackten Updates seitens MS-Update unternommen werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.