{"id":277253,"date":"2023-01-27T08:53:48","date_gmt":"2023-01-27T07:53:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=277253"},"modified":"2023-03-17T13:05:00","modified_gmt":"2023-03-17T12:05:00","slug":"windows-10-neues-zum-winre-patch-fix-der-bitlocker-bypass-schwachstelle-cve-2022-41099","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/01\/27\/windows-10-neues-zum-winre-patch-fix-der-bitlocker-bypass-schwachstelle-cve-2022-41099\/","title":{"rendered":"Windows 10: Neues zum WinRE-Patch (Fix der Bitlocker-Bypass-Schwachstelle CVE-2022-41099)"},"content":{"rendered":"

\"Update\"[English<\/a>]Noch ein Nachtrag zum Blog-Beitrag Windows 10: \"Schlagloch\" Win RE-Patch zum Fix der Bitlocker-Bypass-Schwachstelle CVE-2022-41099<\/a>. Zum Schlie\u00dfen der Schwachstelle (CVE-2022-41099), die eine Umgehung der Bitlocker-Verschl\u00fcsselung in Windows erm\u00f6glicht, muss die Win RE-Umgebung der Clients (Windows 10) manuell aktualisiert werden. Dabei gibt es aber Probleme, wie mir ein Blog-Leser mitteilte. Zudem bin ich auf ein Script gesto\u00dfen, welches das Patchen der WinRE-Umgebung automatisieren soll.<\/p>\n

<\/p>\n

Worum geht es?<\/h2>\n

\"\"Ich hatte es im Blog-Beitrag Windows 10: \"Schlagloch\" Win RE-Patch zum Fix der Bitlocker-Bypass-Schwachstelle CVE-2022-41099<\/a> bereits aufgegriffen. Seit November 2022 ist bekannt, dass es eine Bitlocker-Bypass-Schwachstelle CVE-2022-41099 im Windows Recovery Environment (WinRE) gibt. Microsoft hatte das Thema im Januar 2023 nochmals im Sicherheitsupdate KB5022282<\/a> mit folgendem Text aufgegriffen.<\/p>\n

Important: For Windows Recovery Environment (WinRE) devices, see the Special instructions for Windows Recovery Environment (WinRE) devices in the How to get this update section to address security vulnerabilities in CVE-2022-41099.<\/p><\/blockquote>\n

Das betreffende Update muss manuell installiert werden – was einerseits viele Nutzer \u00fcberfordern d\u00fcrfte. Andererseits berichten Leser von Problemen beim Update.<\/p>\n

Leserhinweise auf Neuerungen<\/h2>\n

Blog-Leser Markus K. hat mich die nochmals per Mail kontaktiert, und wies darauf hin, dass Microsoft seine FAQ zur BitLocker Security Feature Bypass Vulnerability CVE-2022-41099<\/a> aktualisiert habe. Es ist folgende wichtige Erg\u00e4nzung hinzu gekommen.<\/p>\n

Are there additional steps that I need to take to be protected from this vulnerability?<\/strong><\/p>\n

Yes. You must apply the applicable Windows security update to your Windows Recovery Environment (WinRE). For more information about how to apply the WinRE update, see Add an update package to Windows RE<\/a>.<\/p>\n

IMPORTANT: End users and enterprises who are updating Windows devices which are already deployed in their environment can instead use the latest Windows Safe OS Dynamic Updates to update WinRE when the partition is too small to install the full Windows update. You can download the latest Windows Safe OS Dynamic Update from the Microsoft Update Catalog<\/a>.<\/p><\/blockquote>\n

In der als wichtig gekennzeichneten Erg\u00e4nzung schreibt Microsoft, dass ein dynamisches Update im Microsoft Update Catalog<\/a> zum Download bereitsteht. Dieses muss im Prinzip nur heruntergeladen werden und sollte sich dann installieren lassen. Dazu merkte Markus K. in seinen letzten Mails folgendes an:<\/p>\n

Soweit so nett.<\/p>\n

Habe am WSUS das Product hinzugef\u00fcgt, gesynct, alles was nicht ben\u00f6tigt wird declined und den rest approved.<\/p>\n

Nun habe ich ein Windows 10 21H2 mit ungepatchtem WinRE und KB5021043 wird als \"not applicable\" an den WSUS reported.<\/p>\n

Ich behaupte mal, dass das ganze nicht so gut funktioniert, es sei denn ich habe was falsch gemacht.<\/p><\/blockquote>\n

In einer erg\u00e4nzenden Mail schrieb Markus K. dann noch:<\/p>\n

Ich habe gestern noch versucht KB5021043 in ein gemountetes WinRE image einzuspielen, was angeblich auch geklappt hat. Nur hat sich wenig ge\u00e4ndert:<\/p>\n

Version : 10.0.19041
\nServicePack Build : 1
\nServicePack Level : 0<\/p>\n

Entweder funktionieren die Safe OS Dynamic Updates nicht so recht, oder ich mache etwas falsch. W\u00e4re jedenfalls interessant f\u00fcr mich ob damit jemand Erfolg hat (im Idealfall Windows 10 21H2 damit der Vergleich auch passt).<\/p><\/blockquote>\n

Diese Frage gebe ich an die Leserschaft weiter. Vielleicht hat jemand mehr Erfolg.<\/p>\n

Update-Scripte<\/h2>\n

Im englischsprachigen Blog hat sich Mark Berry mit einem Kommentar<\/a> gemeldet und weist darauf hin, dass Susan Bradley AskWoody-Newsletter von im Januar 2023 auf die GitHub-Seite Update Windows RE – CVE-2022-4109<\/a> von Brandon Halsey verweist. Dieser hat ein Script zur Installation ver\u00f6ffentlicht und schreibt:<\/p>\n

Update Windows RE – CVE-2022-41099<\/strong><\/p>\n

Script to update Windows Recovery Environment to patch against CVE-2022-41099. The script pulls the January CU for each build, mounts WinRE, updates it, saves WinRE, then verifies the build number matches what the January CU is. Win10-21H1's last CU was Dec 2022 so that version pulls the Dec 22 CU<\/em><\/p>\n

Supported OS and Builds: Windows 11 (22H2 & 21H2) & Windows 10 (22H2, 21H2, 21H1, & 20H2). Unsure if LTSC will work.<\/p>\n

Built with help from comments of reddit users \/u\/shiz0_ and \/u\/DrunkMAdmin and u\/JoseEspitia_com<\/p>\n

No warranty implied. Do your own testing prior to running.<\/p><\/blockquote>\n

Vielleicht hilft das Script Leuten die Probleme haben. Beachtet aber, dass der Einsatz auf eigenes Risiko erfolgt und das Ganze vorher zu testen ist.<\/p>\n

Zudem hat Martin Himken sich mit diesem Kommentar<\/a> zum Blog-Beitrag Windows 10: \"Schlagloch\" Win RE-Patch zum Fix der Bitlocker-Bypass-Schwachstelle CVE-2022-41099<\/a> gemeldet:<\/p>\n

Guten Morgen,<\/p>\n

ich h\u00e4tte da vielleicht was passendes:<\/p><\/blockquote>\n

\"WinRE-Customization\"<\/a><\/p>\n

Martin verweist in seinem Tweet auf die seinen Beitrag Modify WinRE (Patches, Drivers and CVE-2022-41099)<\/a>, wo er Details zu seiner L\u00f6sung (in Englisch) verr\u00e4t. Auf GitHub hat er dann noch den Beitrag WinRE-Customization<\/a> mit weiteren Hinweisen ver\u00f6ffentlicht. In obigem Kommentar schrieb Martin aber noch:<\/p>\n

Ich m\u00f6chte allerdings anmerken, dass aktuell lt. Microsoft Ticket _nicht_ das CU angewendet werden soll. Wir haben das mit dynamischen Updates (wie durch MS empfohlen) getestet, kommen allerdings zu dem Schluss, dass der Payload wahrscheinlich nicht ausreicht. Auch die Versionsnummer \u00e4ndert sich dadurch nicht. Das CU anzuwenden \u00e4ndert auch passend die Versionsnummer.<\/p><\/blockquote>\n

Also letztendlich die Beobachtung von Markus K. weiter oben. Aktuell interpretiere ich die Hinweise von Markus K. und Martin H. so, dass das dynamische Update wahrscheinlich nicht funktioniert. Aber andererseits r\u00e4t Microsoft davon ab, das kumulative Update (CU) mit der ge\u00e4nderten PE anzuwenden. Vielleicht helfen die Hinweise hier im Beitrag einigen Administratoren die Dinge richtig zu sortieren.<\/p>\n

Erg\u00e4nzung:<\/strong> Microsoft hat ein PowerShell-Script zur Unterst\u00fctzung des Patchens ver\u00f6ffentlicht, siehe\u00a0Windows 10\/11: Microsoft ver\u00f6ffentlicht Script f\u00fcr den WinRE BitLocker Bypass-Fix<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Noch ein Nachtrag zum Blog-Beitrag Windows 10: \"Schlagloch\" Win RE-Patch zum Fix der Bitlocker-Bypass-Schwachstelle CVE-2022-41099. Zum Schlie\u00dfen der Schwachstelle (CVE-2022-41099), die eine Umgehung der Bitlocker-Verschl\u00fcsselung in Windows erm\u00f6glicht, muss die Win RE-Umgebung der Clients (Windows 10) manuell aktualisiert werden. Dabei … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,3694],"tags":[24,4315,4378,8368],"class_list":["post-277253","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows-10","tag-problem","tag-update","tag-windows-10","tag-winre"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277253","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=277253"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277253\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=277253"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=277253"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=277253"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}