{"id":290269,"date":"2024-01-11T08:42:20","date_gmt":"2024-01-11T07:42:20","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=290269"},"modified":"2024-08-23T22:04:01","modified_gmt":"2024-08-23T20:04:01","slug":"windows-winre-update-gegen-cve-2024-20666-scheitert-mit-installationsfehler-0x80070643-jan-2024-kb5034441","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/01\/11\/windows-winre-update-gegen-cve-2024-20666-scheitert-mit-installationsfehler-0x80070643-jan-2024-kb5034441\/","title":{"rendered":"Windows WinRE-Update gegen CVE-2024-20666 scheitert mit Installationsfehler 0x80070643 (Jan. 2024, KB5034441)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/01\/11\/windows-winre-update-for-bitlocker-bypassing-vulnerability-cve-2024-20666-fails-with-installation-error-0x80070643-jan-2024-kb5034441\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Microsoft hat zum 9. Januar 2024 Sicherheitsupdates f\u00fcr Windows 10 und Windows 11 (und Windows Server 2016, 2019, 2022) ver\u00f6ffentlicht. In diesem Updates ist (laut KB5034441) auch ein Fix integriert, der BitLocker Security Feature Bypass-Schwachstelle CVE-2024-20666 in der WinRE-Partition beseitigen soll.\u00a0 Das ist ein Desaster mit Ansage, da die Installation bei vielen Nutzern mit dem Installationsfehler 0x80070643 scheitert (die WinRE-Partition ist zu klein) . Nachfolgend fasse ich die inzwischen bekannten Informationen zusammen.<\/p>\n<p><!--more--><\/p>\n<h2>Update KB5034441 f\u00fcr Windows<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/f1a97c0a74304906988fb6e4a26b2069\" alt=\"\" width=\"1\" height=\"1\" \/>Update KB5034441 soll die BitLocker Security Feature Bypass-Schwachstelle <a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2024-20666\" target=\"_blank\" rel=\"noopener\">CVE-2024-20666<\/a> in Windows 10 und Windows 11\u00a0 sowie in den Server-Pendants (Windows Server 2016, 2019, 2022) schlie\u00dfen. Microsoft hat dazu den Sicherheitshinweis <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2024-20666\" target=\"_blank\" rel=\"noopener\">CVE-2024-20666<\/a> (BitLocker Security Feature Bypass-Schwachstelle) ver\u00f6ffentlicht.<\/p>\n<p>Ein erfolgreicher Angreifer k\u00f6nnte die BitLocker-Ger\u00e4teverschl\u00fcsselungsfunktion auf dem Systemspeicher umgehen und so auf verschl\u00fcsselte Informationen auf dem Datentr\u00e4ger zugreifen. Der Angreifer ben\u00f6tigt dazu aber physischen Zugriff auf das Zielger\u00e4t, um diese Sicherheitsl\u00fccke auszunutzen und Zugriff auf verschl\u00fcsselte Daten zu erhalten. Microsoft stuft die Ausnutzbarkeit als wenig wahrscheinlich ein.<\/p>\n<p>Im <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2024-20666\" target=\"_blank\" rel=\"noopener\">Beitrag<\/a> schreibt Microsoft, dass der Prozess der Aktualisierung von WinRE bei den neuesten Windows-Versionen jetzt vollst\u00e4ndig automatisiert sei. Weiterhin hei\u00dft es, dass f\u00fcr die folgenden Windows-Versionen keine zus\u00e4tzlichen Schritte erforderlich seien, da WinRE als Teil des neuesten kumulativen Updates aktualisiert wird, die \u00fcber Windows Update und WSUS verteilt werden:<\/p>\n<ul>\n<li>Windows 11 Version 23H2<\/li>\n<li>Windows 11 Version 22H2<\/li>\n<\/ul>\n<p>Microsoft schreibt, dass Nutzer je nach der verwendeten Windows-Version m\u00f6glicherweise zus\u00e4tzliche Schritte unternehmen m\u00fcssen, um die Windows-Wiederherstellungsumgebung (WinRE) zu aktualisieren,\u00a0 so dass diese dieser Sicherheitsl\u00fccke gesch\u00fctzt sind. F\u00fcr die folgenden Windows-Versionen schreibt Redmond aber, dass eine automatische L\u00f6sung existiere. Das bedeutet, die Fixes werden bei der Installation des Sicherheitsupdates f\u00fcr Januar 2024 automatisch mit ausgef\u00fchrt:<\/p>\n<ul>\n<li>Windows Server 2022 (Server Core installation) (Link to KB article)<\/li>\n<li>Windows Server 2022 (Link to KB article)<\/li>\n<li>Windows Server 2022, 23H2 Edition (Server Core installation) (Link to KB article)<\/li>\n<li>Windows 10 Version 22H2 for x64-based Systems (Link to KB article)<\/li>\n<li>Windows 10 Version 22H2 for 32-bit Systems (Link to KB article)<\/li>\n<li>Windows 10 Version 21H2 for x64-based Systems (Link to KB article)<\/li>\n<li>Windows 10 Version 21H2 for 32-bit Systems (Link to KB article)<\/li>\n<li>Windows 11 version 21H2 for x64-based Systems (Link to KB article)<\/li>\n<\/ul>\n<p>Ich habe in obiger Liste mal die Links von Microsoft belassen, die auf die betreffenden Supportbeitr\u00e4ge zu den betreffenden Sicherheits-Updates vom 9. Januar 2024\u00a0 verweisen.<\/p>\n<h2>Update-Installationsfehler 0x80070643<\/h2>\n<p>Kurz nach Ver\u00f6ffentlichung meiner\u00a0 Beitr\u00e4ge zum Januar 2024-Patchday (siehe Linkliste am Artikelende) meldeten sich zahlreiche Nutzer in den Kommentaren und berichteten, dass die Updateinstallation mit einem Fehler 0x80070643 scheitert. Hier ein <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/09\/microsoft-security-update-summary-9-januar-2024\/#comment-168681\" target=\"_blank\" rel=\"noopener\">solcher Kommentar<\/a>:<\/p>\n<blockquote><p>Viel Spass bei Windows 10\/11. Zumindest auf Windows 10 braucht [das Update zur Installation einen] manuellen Eingriff. Bei mir kam besagter Downloadfehler. Nach erweitern der RE Partition gem\u00e4\u00df im KB verlinkten Artikel und reboot hat es geklappt. Ohne Reboot nach vergr\u00f6ssern der Partition kam immer wieder besagter Downloadfehler. Nach 5 mal vergr\u00f6ssern gab ich auf, habe reboot durchgef\u00fchrt und es lief. Danach hab ich die Partition wieder verkleinert.<\/p>\n<p>Da werden Admins in grossen Firmen viel Spass mit haben. Keine Ahnung ob das \u00fcberhaupt halbwegs passabel automatisierbar w\u00e4re.<\/p><\/blockquote>\n<p>Ich hatte im urspr\u00fcnglichen Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/10\/patchday-windows-10-updates-9-januar-2024\/\">Patchday: Windows 10-Updates (9. Januar 2024)<\/a> sogar einen Hinweis auf den Support-Beitrag KB5034441 gegeben, der sich mit dem WinRE-Update zum Schlie\u00dfen der Bitlocker-Bypassing-Schwachstelle befasst (die Passage ist dann aber bei \u00dcberarbeitungen herausgefallen. Im Support-Beitrag KB5034441 (bezieht sich auf Windows 10) gibt Microsoft an, dass das Update zu Problemen f\u00fchren kann, wenn das Partitionsschema des Systems eine zu kleine WinRE-Partition vorsieht und schreibt:<\/p>\n<blockquote><p>Einige Computer verf\u00fcgen m\u00f6glicherweise nicht \u00fcber eine Wiederherstellungspartition, die gro\u00df genug ist, um dieses Update abzuschlie\u00dfen. Aus diesem Grund kann das Update f\u00fcr WinRE mit der Fehlermeldung:<\/p><\/blockquote>\n<blockquote><p>Windows Recovery Environment servicing failed.<br \/>\n(CBS_E_INSUFFICIENT_DISK_SPACE)<\/p>\n<p>fehlschlagen.<\/p>\n<p>Bekanntes Problem: Aufgrund eines Problems in der Routine zur Behandlung von Fehlercodes wird bei unzureichendem Speicherplatz m\u00f6glicherweise die folgende Fehlermeldung anstelle der erwarteten Fehlermeldung angezeigt: <em>0x80070643 &#8211; ERROR_INSTALL_FAILURE<\/em><\/p><\/blockquote>\n<h3>Widerspr\u00fcchliche Aussagen zur Update-Verf\u00fcgbarkeit<\/h3>\n<p>Der Supportbeitrag KB5034441 enth\u00e4lt inzwischen Hinweise (bezogen auf Windows 10), dass das Update \u00fcber Windows Update, nicht jedoch \u00fcber den Microsoft Update Catalog und auch nicht per WSUS bereitgestellt werde. Erkl\u00e4rt, warum manche Administratoren das \u00fcber WSUS nicht mehr angeboten bekommen. Die oben verlinkten Supportbeitr\u00e4ge zu den Windows-Updates geben aber noch an, dass diese Updates per WSUS und Microsoft Update Catalog erh\u00e4ltlich seien.<\/p>\n<h3>Vergr\u00f6\u00dfern der WinRE-Partition erforderlich<\/h3>\n<p>Um den Installationsfehler zu beheben, wird eine gen\u00fcgend gro\u00dfe WinRE-Partition ben\u00f6tigt. Partitionsmanager (z.B. Paragon Partition Manager, GParted) beherrschen in der Regel das verlustlose Anpassen der Partitionsgr\u00f6\u00dfen. Microsoft hat den Support-Beitrag <a href=\"https:\/\/support.microsoft.com\/help\/5028997\" target=\"_blank\" rel=\"noopener\">KB5028997<\/a> ver\u00f6ffentlicht, der sich mit dem Anpassen der Partitionsgr\u00f6\u00dfen befasst (die Kollegen von deskmodder.de haben <a href=\"https:\/\/www.deskmodder.de\/blog\/2024\/01\/09\/windows-10-kb5034441-winre-update-als-sicherheitsupdate-kann-fehler-0x80070643-ausloesen\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> darauf hingewiesen). In <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/09\/microsoft-security-update-summary-9-januar-2024\/#comment-168684\" target=\"_blank\" rel=\"noopener\">diesen Kommentaren<\/a> hier im Blog hat ein Leser seine Vorgehensweise skizziert:<\/p>\n<blockquote><p>Ich habe bei 6 PC , alle W10, das neue MS Update gemacht.<br \/>\n4 davon keine Probleme.<br \/>\n2 mit (Fehler 0x80070643)<br \/>\nFehlerbehebung war:<\/p>\n<p>\"\u00dcberpr\u00fcfen der Windows RE-Version in einem Windows-Onlinebetriebssystem\"<br \/>\nWindows-Eingabeaufforderung<br \/>\nCMD<br \/>\nreagentc \/info<br \/>\nSteht es auf Disabled wird der Sicherheitsupdate check fehlschlagen.<br \/>\nDann kommt der Fehler nicht gefunden oder (Fehler 0x80070643)<br \/>\nAbhilfe bei mir!<br \/>\nWindows-Eingabeaufforderung<br \/>\nCMD als admin starten und<br \/>\nReagentc \/enable \/auditmode<br \/>\nEingeben.<br \/>\nErste Meldung nicht gefunden. (REAGENTC.EXE: Das Windows RE-Image wurde nicht gefunden).<br \/>\nNoch mal eingeben<br \/>\nReagentc \/enable \/auditmode<br \/>\n(REAGENTC.EXE: Vorgang erfolgreich).<br \/>\nDann zur \u00dcberpr\u00fcfung<br \/>\nreagentc \/info<br \/>\nEs steht auf Enabled<br \/>\nUpdate von MS neu starten.<br \/>\nKein Fehler beim Update mehr.<\/p><\/blockquote>\n<p>Bei Nutzern, die die Partition zwar auf 2 GByte vergr\u00f6\u00dfert haben, und im Anschluss trotzdem einen Installationsfehler erhalten, d\u00fcrfte es am \"Disabled\"-Attribut f\u00fcr die WinRE-Partition liegen. Bolko und weitere Nutzer beschreiben in <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/10\/patchday-windows-10-updates-9-januar-2024\/#comment-168731\">diesem Kommentarthread<\/a> einige Szenarien. Jackie hat in <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/10\/patchday-windows-10-updates-9-januar-2024\/#comment-168759\">diesem Kommentar<\/a> ebenfalls einige F\u00e4lle beschrieben, die zus\u00e4tzliche Probleme bringen k\u00f6nnen. Auf Facebook hat mir ein Nutzer noch seine Vorgehensweise in einer privaten Mitteilung gepostet:<\/p>\n<blockquote><p>Wenn von Interesse und zu \u00dcberpr\u00fcfung;\u00a0 meine L\u00f6sung beim Updatefehler KB5034441:<\/p>\n<p>Ist eine Wiederherstellungspartition vorhanden, reicht meistens eine Formatierung (in der Datentr\u00e4gerverwaltung nachsehen).<\/p>\n<p>Eingabeaufforderung als Administrator ausf\u00fchren, reagentc \/info und die Startkonfigurationsdaten-ID kopieren z.B.: 12345687-abcd-1234-abcd-123456789abc<\/p>\n<p>Wenn WinRE-Status = Enabled:<br \/>\nreagentc \/disable<br \/>\nDISKPART list disk<br \/>\nselect disk<br \/>\nlist disk<\/p>\n<p>zur Kontrolle, es sollte ein Sternchen vor dem ausgew\u00e4hlten Datentr\u00e4ger erscheinen<\/p>\n<p>list partition<br \/>\nselect partition<br \/>\nlist partition<br \/>\nformat quick fs=ntfs label=\"winRE\" set id=12345687-abcd-1234-abcd-123456789abc<br \/>\nexit<\/p>\n<p>Auch wenn HELP angezeigt wird, sollte alles OK sein.<\/p>\n<p>reagentc \/enable<\/p>\n<p>Wird winre.wim nicht gefunden<\/p>\n<p>dir \/a \/s c:\\winre.wim<\/p>\n<p>(meistens c:\\$WinREAgent\\Backup)<\/p>\n<p>reagentc \/setreimage \/path<\/p>\n<p>Wenn keine Wiederherstellungspartition auf des Systemfestplatte vorhanden ist, die Partition auf der Windows installiert ist, in der Datentr\u00e4gerverwaltung um 512 MB verkleinern.<\/p><\/blockquote>\n<p>Nicht jeder Nutzer wird die oben skizzierten Vorgehensweisen so handhaben k\u00f6nnen. Vielleicht hilft es trotzdem weiter.<\/p>\n<h3>Updateinstallation verhindern<\/h3>\n<p><strong>Erg\u00e4nzung:<\/strong> Weil es in den Kommentaren gefragt wurde, da sich das Update immer wieder installieren will, wenn es nicht zur\u00fcckgezogen wird. In nicht verwalteten Umgebungen muss das Update f\u00fcr die betreffenden Windows 10 \/ 11-Version mittels des Microsoft Tools <a href=\"http:\/\/download.microsoft.com\/download\/F\/2\/2\/F22D5FDB-59CD-4275-8C95-1BE17BF70B21\/wushowhide.diagcab\" target=\"_blank\" rel=\"noopener\">Show or Hide Updates<\/a> geblockt werden.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/03\/office-update-kb5002500-vom-2-januar-2023-fixt-onenote-2015-sync-problem\/\">Office Update KB5002500 vom 2. Januar 2023 fixt OneNote 2016 Sync-Problem<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/09\/microsoft-security-update-summary-9-januar-2024\/\">Microsoft Security Update Summary (9. Januar 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/10\/patchday-windows-10-updates-9-januar-2024\/\">Patchday: Windows 10-Updates (9. Januar 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/10\/patchday-windows-11-server-2022-updates-9-januar-2024\/\">Patchday: Windows 11\/Server 2022-Updates (9. Januar 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/11\/windows-7-server-2008-r2-server-2012-r2-updates-9-januar-2024\/\">Windows 7\/Server 2008 R2; Server 2012 R2: Updates (9. Januar 2024)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Microsoft hat zum 9. Januar 2024 Sicherheitsupdates f\u00fcr Windows 10 und Windows 11 (und Windows Server 2016, 2019, 2022) ver\u00f6ffentlicht. In diesem Updates ist (laut KB5034441) auch ein Fix integriert, der BitLocker Security Feature Bypass-Schwachstelle CVE-2024-20666 in der WinRE-Partition beseitigen &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/11\/windows-winre-update-gegen-cve-2024-20666-scheitert-mit-installationsfehler-0x80070643-jan-2024-kb5034441\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[185,301],"tags":[8448,24,4328,4315,4378],"class_list":["post-290269","post","type-post","status-publish","format-standard","hentry","category-update","category-windows","tag-patchdays-1-2024","tag-problem","tag-sicherheit","tag-update","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/290269","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=290269"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/290269\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=290269"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=290269"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=290269"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}