{"id":290458,"date":"2024-01-14T09:25:01","date_gmt":"2024-01-14T08:25:01","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=290458"},"modified":"2024-08-23T22:03:55","modified_gmt":"2024-08-23T20:03:55","slug":"microsoft-powershell-script-gegen-installationsfehler-0x80070643-bei-kb5034441-jan-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/01\/14\/microsoft-powershell-script-gegen-installationsfehler-0x80070643-bei-kb5034441-jan-2024\/","title":{"rendered":"Microsoft PowerShell-Script gegen Installationsfehler 0x80070643 bei KB5034441 (Jan. 2024)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/01\/15\/microsofts-powershell-script-against-installation-error-0x80070643-for-kb5034441-jan-2024\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Das zum 9. Januar 2024 per automatischem Update (z.B. KB5034441) gegen eine BitLocker Security Feature Bypass-Schwachstelle CVE-2024-20666 in der WinRE-Partition ausgerollte Sicherheitsupdate scheitert auf vielen Systemen mit dem Installationsfehler 0x80070643. Ist irgendwie ein Desaster mit Ansage &#8211; und viele Nutzer bzw. Nutzerinnen sind nicht in der Lage, diesen Installationsfehler zu beheben. Letzte Woche hat Microsoft\u00a0 dann noch PowerShell-Scripte ver\u00f6ffentlicht, die Ursache f\u00fcr den Installationsfehler 0x800706431 beheben sollen. In einem Nachtrag fasse ich diesbez\u00fcglich einige Informationen zusammen.<\/p>\n<p><!--more--><\/p>\n<h2>Worum geht es bei CVE-2024-20666<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/5dc394d725794f708f1934f3fcf97a7d\" alt=\"\" width=\"1\" height=\"1\" \/>In Windows gibt es eine BitLocker Security Feature Bypass-Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2024-20666\" target=\"_blank\" rel=\"noopener\">CVE-2024-20666<\/a>, die es einem Angreifer mit physischem Zugriff auf das System erm\u00f6glicht, \u00fcber die BitLocker Device Encryption-Funktion Zugriff auf mit BitLocker verschl\u00fcsselte Daten zu erhalten. Potentiell betroffen sind Windows 10, Windows 11\u00a0 und Windows Server 2016, 2019, 2022.<\/p>\n<p>Zum Beseitigen der Schwachstelle soll ein Update daf\u00fcr sorgen, dass die Windows Recovery Environment (WinRE) aktualisiert wird. Microsoft hat dazu unter KB5034441 einige Hinweise ver\u00f6ffentlicht und rollt einen entsprechenden Patch per Windows Update auf alle Ger\u00e4te aus. Im Beitrag zu <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2024-20666\" target=\"_blank\" rel=\"noopener\">CVE-2024-20666<\/a> hei\u00dft es von Microsoft, dass die Aktualisierung der WinRE-Umgebung f\u00fcr Windows 11 22H2 und 23H2 automatisch erfolgen soll.<\/p>\n<p>F\u00fcr Windows 10 21H2 &#8211; 22H2, Windows 11 21H2 und Windows Server 2022 (samt der 23H2-Edition) sind Updates f\u00fcr die Windows-Wiederherstellungsumgebung verf\u00fcgbar, die automatisch das neueste dynamische Safe OS-Update vom laufenden Windows-Betriebssystem auf WinRE anwenden sollen. Details sind im Beitrag zu <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2024-20666\" target=\"_blank\" rel=\"noopener\">CVE-2024-20666<\/a> zu finden.<\/p>\n<h2>Update wirft Installationsfehler 0x80070643<\/h2>\n<p>Seit dem 9. Januar 2024 scheitert die automatische Installation der betreffenden Sicherheitsupdates unter Windows bei vielen Anwender mit dem Installationsfehler 0x80070643. Hier im Blog finden sich entsprechende Kommentare (siehe z.B. <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/09\/microsoft-security-update-summary-9-januar-2024\/#comment-168681\" target=\"_blank\" rel=\"noopener\">hier<\/a>), verteilt auf die am Beitragsende verlinkten Blog-Beitr\u00e4ge. Als Ursache kristallisieren sich folgende Ursachen heraus:<\/p>\n<ul>\n<li>Das System verf\u00fcgt nicht \u00fcber eine Wiederherstellungspartition, die gro\u00df genug ist, um um dieses Update abzuschlie\u00dfen.<\/li>\n<li>Es ist keine WinRE-Partition auf dem System verf\u00fcgbar oder diese Partition ist nicht mit den richtigen Flags aktiviert.<\/li>\n<\/ul>\n<p>Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/11\/windows-winre-update-gegen-cve-2024-20666-scheitert-mit-installationsfehler-0x80070643-jan-2024-kb5034441\/\">Windows WinRE-Update gegen CVE-2024-20666 scheitert mit Installationsfehler 0x80070643 (Jan. 2024, KB5034441)<\/a> einige Hinweise gegeben, wie erfahrene Nutzer die Ursache f\u00fcr die Fehlermeldung<\/p>\n<blockquote><p><em>0x80070643 \u2013 ERROR_INSTALL_FAILURE<\/em><\/p>\n<p>Windows Recovery Environment servicing failed.<br \/>\n(CBS_E_INSUFFICIENT_DISK_SPACE)<\/p><\/blockquote>\n<p>beheben k\u00f6nnten (Gr\u00f6\u00dfe der WinRE-Partition anpassen und ggf. aktivieren). Auch die Kollegen von deskmodder.de arbeiten sich in <a href=\"https:\/\/www.deskmodder.de\/blog\/2024\/01\/09\/windows-10-kb5034441-winre-update-als-sicherheitsupdate-kann-fehler-0x80070643-ausloesen\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> am Thema ab und haben die Anleitung von Microsoft in <a href=\"https:\/\/www.deskmodder.de\/blog\/2023\/09\/10\/windows-11-winre-update-mit-fehlermeldung-wegen-zu-kleiner-partition-anleitung-von-microsoft\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> verbessert. Inzwischen hat auch Microsoft die Beschreibung im Beitrag zu <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2024-20666\" target=\"_blank\" rel=\"noopener\">CVE-2024-20666<\/a> sowie unter <a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/kb5034441-windows-recovery-environment-update-for-windows-10-version-21h2-and-22h2-january-9-2024-62c04204-aaa5-4fee-a02a-2fdea17075a8\" target=\"_blank\" rel=\"noopener\">KB5034441<\/a> \u00fcberarbeitet.<\/p>\n<p>Manche Nutzer berichten auch, dass ihnen das fehlerhafte Update nicht mehr angeboten werden. Ob das Update zur\u00fcckgezogen wurde, ist mir nach wie vor unklar. Nutzer, bei denen sich das Update immer wieder installieren will, k\u00f6nnen versuchen, dieses in nicht verwalteten Umgebungen unter Windows 10 \/ 11-Version mittels des Microsoft Tools <a href=\"http:\/\/download.microsoft.com\/download\/F\/2\/2\/F22D5FDB-59CD-4275-8C95-1BE17BF70B21\/wushowhide.diagcab\">Show or Hide Updates<\/a> zu blockieren.<\/p>\n<h2>Microsofts PowerShell-Scripte sollen es richten<\/h2>\n<p>Im Laufe der Woche hat Microsoft dann PowerShell-Scripte ver\u00f6ffentlicht, die die Ursachen f\u00fcr den Installationsfehler 0x80070643 beseitigen sollen. Ein Blog-Leser hatte in <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/10\/patchday-windows-10-updates-9-januar-2024\/#comment-169166\" target=\"_blank\" rel=\"noopener\">diesem Kommentar<\/a> auf <a href=\"https:\/\/www.heise.de\/news\/Microsoft-liefert-Abhilfe-zur-Installation-von-Updates-in-WinRE-Partition-9595312.html\" target=\"_blank\" rel=\"noopener\">diesen heise-Beitrag<\/a> zum Thema hingewiesen. Ich hatte das Thema zum 11. Januar 2023 bei Bleeping Computer in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/microsoft\/microsoft-shares-script-to-update-windows-10-winre-with-bitlocker-fixes\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> gesehen.<\/p>\n<p>Microsoft bietet nun im Supportbeitrag <a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/kb5034957-updating-the-winre-partition-on-deployed-devices-to-address-security-vulnerabilities-in-cve-2024-20666-0190331b-1ca3-42d8-8a55-7fc406910c10\" target=\"_blank\" rel=\"noopener\">KB5034957: Updating the WinRE partition on deployed devices to address security vulnerabilities in CVE-2024-20666<\/a> gleich zwei PowerShell-Scripte an, um die Aktualisierung der Windows-Wiederherstellungsumgebung (WinRE) im Hinblick auf CVE-2024-20666 zu automatisieren. Es gibt dabei zwei PowerShell-Scripte:<\/p>\n<ul>\n<li><em>PatchWinREScript_2004plus.ps1<\/em> f\u00fcr Windows 10 Version 2004 und sp\u00e4tere Versionen, einschlie\u00dflich Windows 11. Diese Variante wird empfohlen.<\/li>\n<li><em>PatchWinREScript_General.ps1 <\/em>f\u00fcr Windows 10, Version 1909 und fr\u00fchere Versionen, kann aber auf allen Versionen von Windows 10 und Windows 11 ausgef\u00fchrt werden.<\/li>\n<\/ul>\n<p>Laut der Beschreibung Microsofts f\u00fchrt das PowerShell-Script dann folgende Operationen durch:<\/p>\n<ul>\n<li>Mounted das vorhandene WinRE-Abbild (WINRE.WIM)<\/li>\n<li>Aktualisiert das WinRE-Image mit dem angegebenen Paket f\u00fcr das dynamische Betriebssystem-Update (Kompatibilit\u00e4tsupdate), das im Windows Update-Katalog verf\u00fcgbar ist.<\/li>\n<li>Deaktiviert das WinRE-Image<\/li>\n<li>Ist BitLocker-TPM aktiv, wird WinRE f\u00fcr den BitLocker-Dienst neu konfiguriert<\/li>\n<\/ul>\n<p>Im kaum dokumentierten Script-Code l\u00e4sst sich erkennen, dass die WinRE-Partition mit folgendem Befehl:<\/p>\n<pre>Dism \/image:$mountDir \/cleanup-image \/StartComponentCleanup \/ResetBase<\/pre>\n<p>zudem bereinigt wird. Der Support-Beitrag <a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/kb5034957-updating-the-winre-partition-on-deployed-devices-to-address-security-vulnerabilities-in-cve-2024-20666-0190331b-1ca3-42d8-8a55-7fc406910c10\" target=\"_blank\" rel=\"noopener\">KB5034957<\/a> listet noch Parameter auf, die ein Administrator zur Ausf\u00fchrung des PowerShell-Scripts in der PS-Konsole angeben soll. Ein Aufruf k\u00f6nnte so aussehen:<\/p>\n<pre>.\\PatchWinREScript_2004plus.ps1 -packagePath \"\\\\server\\share\\windows10.0-kb5021043-x64_efa19d2d431c5e782a59daaf2d.cab<\/pre>\n<p>Rafael weist in <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/11\/windows-winre-update-gegen-cve-2024-20666-scheitert-mit-installationsfehler-0x80070643-jan-2024-kb5034441\/#comment-169206\">diesem Kommentar<\/a> darauf hin, dass sich das Safe OS-Paket im <a href=\"https:\/\/www.catalog.update.microsoft.com\/Search.aspx?q=Safe%20OS\" target=\"_blank\" rel=\"noopener\">Windows Update Catalog<\/a> f\u00fcr die betreffende Windows-Version herunterladen l\u00e4sst.<\/p>\n<p>Die Kollegen von Bleeping Computer verweisen in ihrem Artikel zudem auf einen zweiten Ansatz <a href=\"https:\/\/www.action1.com\/fixing-winre-update-issues-for-cve-2024-20666-and-kb5034441\/\" target=\"_blank\" rel=\"noopener\">Fixing WinRE Update Issues for CVE-2024-20666 and KB5034441<\/a> auf der Seite <em>action1.com<\/em>, wo ebenfalls PowerShell-Scripte zur Behebung des Problems angeboten werden.<\/p>\n<h2>Meine 2 Cents<\/h2>\n<p>Dieser Ansatz wird sich f\u00fcr normale Nutzer nicht verwenden lassen, da er schlicht zu kompliziert ist. Speziell Nutzer im Umfeld der Consumer, bei denen die Systeme eh nicht mit Bitlocker verschl\u00fcsselt sind, werden mit den obigen Ans\u00e4tzen nichts anfangen k\u00f6nnen. Hier ist es f\u00fcr mich absolut unverst\u00e4ndlich, dass Microsoft ein solches Update am ersten Patchday nach Weihnachten und dem Jahreswechsel breit per Windows Update ausrollt und einer gro\u00dfe Zahl Nutzern Installationsfehler beschert.<\/p>\n<p>In meinen Augen wird Microsoft da kr\u00e4ftig nachbessern m\u00fcssen. Der Ansatz, Nutzer in eine administrative Eingabeaufforderung zu jagen, um dort mit Partitionen oder PowerShell-Scripten zu operieren, ist schlicht ein Offenbarungseid von Redmond. Die blasen zwar die Backen mit den M\u00f6glichkeiten von Copilot auf, schaffen es aber nicht einmal, ein Update-Programm, welches die Schwachstelle zuverl\u00e4ssig beseitigt, bereitzustellen.<\/p>\n<p>Wie ist bei euch der Status, habt ihr das Update fehlerfrei installieren k\u00f6nnen und falls ja, auf welchem Weg? Auf meinem Windows 10 2019 IoT LTSC wird das Update \u00fcbrigens nach wie vor nicht angeboten.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/03\/office-update-kb5002500-vom-2-januar-2023-fixt-onenote-2015-sync-problem\/\">Office Update KB5002500 vom 2. Januar 2023 fixt OneNote 2016 Sync-Problem<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/09\/microsoft-security-update-summary-9-januar-2024\/\">Microsoft Security Update Summary (9. Januar 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/10\/patchday-windows-10-updates-9-januar-2024\/\">Patchday: Windows 10-Updates (9. Januar 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/10\/patchday-windows-11-server-2022-updates-9-januar-2024\/\">Patchday: Windows 11\/Server 2022-Updates (9. Januar 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/11\/windows-7-server-2008-r2-server-2012-r2-updates-9-januar-2024\/\">Windows 7\/Server 2008 R2; Server 2012 R2: Updates (9. Januar 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/11\/windows-winre-update-gegen-cve-2024-20666-scheitert-mit-installationsfehler-0x80070643-jan-2024-kb5034441\/\">Windows WinRE-Update gegen CVE-2024-20666 scheitert mit Installationsfehler 0x80070643 (Jan. 2024, KB5034441)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Das zum 9. Januar 2024 per automatischem Update (z.B. KB5034441) gegen eine BitLocker Security Feature Bypass-Schwachstelle CVE-2024-20666 in der WinRE-Partition ausgerollte Sicherheitsupdate scheitert auf vielen Systemen mit dem Installationsfehler 0x80070643. Ist irgendwie ein Desaster mit Ansage &#8211; und viele Nutzer &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/14\/microsoft-powershell-script-gegen-installationsfehler-0x80070643-bei-kb5034441-jan-2024\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,185,301],"tags":[62,8446,4315,3288],"class_list":["post-290458","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-update","category-windows","tag-bitlocker","tag-patchday-1-2024","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/290458","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=290458"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/290458\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=290458"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=290458"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=290458"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}