{"id":251481,"date":"2021-03-27T07:05:32","date_gmt":"2021-03-27T06:05:32","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=251481"},"modified":"2021-04-08T11:13:12","modified_gmt":"2021-04-08T09:13:12","slug":"windows-10-neues-ssu-kb5001205-fixt-security-boot-schwachstelle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/03\/27\/windows-10-neues-ssu-kb5001205-fixt-security-boot-schwachstelle\/","title":{"rendered":"Windows 10: Neues SSU KB5001205 fixt Secure Boot-Schwachstelle"},"content":{"rendered":"

[English<\/a>]Microsoft hat ein neues Servicing Stack Update (SSU) f\u00fcr Windows 10 freigegeben. Dass SSU KB5001205 soll eine Schwachstelle beim\u00a0 fixt Security Boot beheben. Diese Schwachstelle wurde durch ein vorheriges Update f\u00fcr den Security Boot aufgerissen.<\/p>\n

<\/p>\n

\"\"Gestern hatte ich ja im Blog-Beitrag Windows 10 1809\/1909: Preview-Updates (25.3.2021)<\/a> \u00fcber Vorschau-Updates f\u00fcr Windows 10 berichtet. Das Vorschau-Update soll eine Reihe an Problemen beheben und den alten Edge-Browser aus der betreffenden Windows 10 Version 1909 entfernen.<\/p>\n

Neues SSU KB5001205 f\u00fcr Windows 10 Version 1909<\/h2>\n

F\u00fcr Windows 10 Version 1909 wurde auch das Service Stack Update (SSU) KB5001205<\/a> erw\u00e4hnt, dessen Installation von Microsoft dringend empfohlen wird. Ich habe mir jetzt mal die Beschreibung dieses SSU , welches f\u00fcr die Intel und ARM-Versionen von Windows 10 Version 1909 und Windows Server Version 1909 (Server Core Installation) freigegeben wurde,\u00a0 genauer angesehen. Im Support-Beitrag hei\u00dft es dazu.<\/p>\n

This update makes quality improvements to the servicing stack, which is the component that installs Windows updates. Servicing stack updates (SSU) makes sure that you have a robust and reliable servicing stack so that your devices can receive and install Microsoft updates.<\/p><\/blockquote>\n

Das ist nichts neues, da die Verbesserung der Qualit\u00e4t und Stabilit\u00e4t des Servicing Stack und von Windows Update immer das Ziel der inzwischen wohl monatlichen SSUs ist. Aber es gibt noch einen Zusatz, der auf eine Security Boot-Schwachstelle abstellt.<\/p>\n

This update also addresses an issue that might prevent the CVE-2020-0689 update from installing. The error message in the CBS.log file is TRUST_E_NOSIGNATURE<\/b>. To learn more about this security vulnerability, see CVE-2020-0689 | Microsoft Secure Boot Security Feature Bypass Vulnerability<\/a>.<\/p><\/blockquote>\n

Dort erf\u00e4hrt der verdutzte Leser, dass mit dem SSU auch ein Problem behoben wird, dass das Update f\u00fcr CVE-2020-0689 an der Installation hindert. Microsoft gibt dort keine weiteren Details bekannt (und bei den Kollegen hier<\/a> habe ich auch nichts gelesen).<\/p>\n

Der Fehler TRUST_E_NOSIGNATURE (Fehlercode 0x800b0100) signalisiert wohl, dass keine g\u00fcltige Signatur im Paket gefunden wurde. Da das SSU nur f\u00fcr Windows 10 V1909 freigegeben wurde, scheint es kein Problem mit dem Update, sondern ein Problem mit dem Servicing Stack in Windows Update gewesen zu sein.<\/p><\/blockquote>\n

Dieses SSU-Update wird per Windows Update auf entsprechenden Systemen angeboten, kann aber auch \u00fcber den Microsoft Update Catalog<\/a> als Paket heruntergeladen und dann manuell installiert werden. Zudem bietet Microsoft dieses Update im WSUS zur Verteilung auf betroffene Maschinen an, man misst dem Problem wohl eine hohe Bedeutung zu.<\/p>\n

Der Hintergrund der Schwachstelle<\/h3>\n

Im Januar 2021 gab es das Sicherheitsupdate KB4535680<\/a> (Security update for Secure Boot DBX: January 12, 2021), welches ich im Blog-Beitrag Windows Sicherheitsupdate KB4535680 f\u00fcr Secure Boot (DBX)<\/a> behandelt habe. Bei Windows-Ger\u00e4ten mit UEFI (Unified Extensible Firmware Interface)-basierter Firmware gab es eine Schwachstelle, die eine Umgehung von Sicherheitsfunktionen in Secure Boot erm\u00f6glicht (siehe CVE-2020-0689 | Microsoft Secure Boot Security Feature Bypass Vulnerability<\/a>). Die Secure Boot Forbidden Signature Database (DBX) konnte das Laden von UEFI-Modulen nicht verhindern. Ein Angreifer, der diese Sicherheitsanf\u00e4lligkeit erfolgreich ausnutzt, k\u00f6nnte Secure Boot umgehen und nicht vertrauensw\u00fcrdige Software laden. Das Sicherheitsupdate KB4535680<\/a> (Security update for Secure Boot DBX: January 12, 2021) brachte diesbez\u00fcglich Verbesserungen am Secure Boot DBX f\u00fcr die unterst\u00fctzten Windows-Versionen, indem es neue Module zur DBX hinzuf\u00fcgt. Das Sicherheitsupdate wurde f\u00fcr Windows 8.1\/Server 2012\/R2 bis Windows 10 Version 1909 und dessen Server-Pendants ausgerollt.<\/p>\n

\u00c4rger bei Bitlocker-Systemen<\/h3>\n

Das Sicherheitsupdate KB4535680<\/a> hat aber nicht nur eine Fehlermeldung TRUST_E_NOSIGNATURE in der CBS.log von einzelnen Windows 10-Systemen hinterlassen. Bei einer Suche im Blog bin f\u00fcndig geworden. Im Artikel Windows 10: L\u00f6st KB4535680 ein Bitlocker-Recovery aus?<\/a> hatte ich berichtet, dass dieses Update mach der Installation ein Bitlocker-Recovery auf diversen Windows 10-Ger\u00e4ten ausl\u00f6ste. Speziell HP-Ger\u00e4te scheinen betroffen zu sein – aber auch Surface Laptop 1\/2 wurde genannt. Keine Ahnung, ob dieses Problem mit dem neuen SSU-Update auf bestimmte Maschinen ebenfalls behoben wurde. War jemand von diesem Problem (a) Fehler bei der Installation oder b) Bitlocker-Fehler) betroffen und ist dieses durch das SSU behoben?<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nWindows Sicherheitsupdate KB4535680 f\u00fcr Secure Boot (DBX)<\/a>
\nMicrosoft Patchday-Nachlese (Januar 2021)<\/a>
\nWindows 10: L\u00f6st KB4535680 ein Bitlocker-Recovery aus?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft hat ein neues Servicing Stack Update (SSU) f\u00fcr Windows 10 freigegeben. Dass SSU KB5001205 soll eine Schwachstelle beim\u00a0 fixt Security Boot beheben. Diese Schwachstelle wurde durch ein vorheriges Update f\u00fcr den Security Boot aufgerissen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,3694],"tags":[4328,4315,4378],"class_list":["post-251481","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows-10","tag-sicherheit","tag-update","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251481","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=251481"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251481\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=251481"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=251481"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=251481"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}