{"id":290715,"date":"2024-01-19T07:56:21","date_gmt":"2024-01-19T06:56:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=290715"},"modified":"2024-08-23T22:03:56","modified_gmt":"2024-08-23T20:03:56","slug":"microsoft-arbeitet-an-einem-fix-fr-den-installationsfehler-0x80070643-beim-winre-update-kb5034441","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/01\/19\/microsoft-arbeitet-an-einem-fix-fr-den-installationsfehler-0x80070643-beim-winre-update-kb5034441\/","title":{"rendered":"Microsoft arbeitet an einem Fix f&uuml;r den Installationsfehler 0x80070643 beim WinRE-Update KB5034441"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/01\/19\/microsoft-is-working-on-a-fix-for-the-installation-error-0x80070643-winre-update-kb5034441\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Nachtrag zum Januar 2024-Patchday, wo zahlreiche Nutzer mit dem Update KB5034441 in den Installationsfehler 0x80070643 liefen. Dieses Update soll eine Schwachstelle bez\u00fcglich der Bitlocker-Verschl\u00fcsselung in der WinRE-Umgebung beseitigen. Es gibt zwar L\u00f6sungsans\u00e4tze, die aber f\u00fcr die meisten Nutzer zu kompliziert sind. Und Administratoren vieler Tausend Windows 10\/11-Clients k\u00f6nnen die auch nicht einzeln in die Finger nehmen. Microsoft hat zum 18. Januar 2024 best\u00e4tigt, dass man an einem Fix f\u00fcr diese Probleme arbeitet und diesen irgendwann ausliefern will. <strong>Erg\u00e4nzungen: <\/strong>Gleichzeitig wurde bekannt, dass Microsoft ab April 2024 den Secure Boot h\u00e4rten und unsichere Boot-Umgebungen blockieren will. Nachfolgend fasse ich mal den Status zusammen.<\/p>\n<p><!--more--><\/p>\n<h2>WinRE-Update KB5034441<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/7c8b29edc60e4a04bc209a09f4cd86cb\" alt=\"\" width=\"1\" height=\"1\" \/>In Windows gibt es eine BitLocker Security Feature Bypass-Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2024-20666\">CVE-2024-20666<\/a>, die es einem Angreifer mit physischem Zugriff auf das System erm\u00f6glicht, \u00fcber die BitLocker Device Encryption-Funktion Zugriff auf mit BitLocker verschl\u00fcsselte Daten zu erhalten. Potentiell betroffen sind Windows 10, Windows 11\u00a0 und Windows Server 2022.<\/p>\n<p>Zum Beseitigen der Schwachstelle hat Microsoft zum 9. Januar 2024 ein Update bereitgestellt, zu dem sich unter dem Supportbeitrag KB5034441 einige Informationen finden. Das Update soll daf\u00fcr sorgen, dass die Windows Recovery Environment (WinRE) aktualisiert wird. Dieses Update wendet das dynamische Safe Os Update (z.B. <a href=\"https:\/\/support.microsoft.com\/help\/5034232\" target=\"_blank\" rel=\"noopener\">KB5034232<\/a>, <a href=\"https:\/\/www.catalog.update.microsoft.com\/\" target=\"_blank\" rel=\"noopener\">KB5034236<\/a> etc.) automatisch auf die Windows-Wiederherstellungsumgebung (Windows Recovery Environment, WinRE) auf einem laufenden PC an.<\/p>\n<h2>Update Installationsfehler 0x80070643<\/h2>\n<p>Das Update wurde dabei automatisch \u00fcber Windows Update ausgerollt, wobei es egal war, ob auf einer Maschine Bitlocker aktiviert war oder nicht. In Folge des Januar 2024-Patchday meldeten sich dann zahlreiche Nutzer, bei denen das KB5034441 mit einem Installationsfehler 0x80070643 scheiterte. Ich hatte das Thema hier im Blog im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/11\/windows-winre-update-gegen-cve-2024-20666-scheitert-mit-installationsfehler-0x80070643-jan-2024-kb5034441\/\">Windows WinRE-Update gegen CVE-2024-20666 scheitert mit Installationsfehler 0x80070643 (Jan. 2024, KB5034441)<\/a> aufgegriffen.<\/p>\n<p>Von Microsoft gab es zwar im Vorfeld bereits den Hinweis, dass die Installation des Update 250 MB freien Speicherplatz in der Wiederherstellungspartition erfordert, um erfolgreich installiert werden zu k\u00f6nnen. Weist die Wiederherstellungspartition nicht \u00fcber gen\u00fcgend freien Speicherplatz auf, scheitert das Update bei der Installation mit dem Fehler <em>0x80070643 &#8211; ERROR_INSTALL_FAILURE<\/em>.<\/p>\n<h2>Untaugliche Hilfestellung von Microsoft<\/h2>\n<p>Es gibt von Microsoft zwar eine Anleitung <a href=\"https:\/\/support.microsoft.com\/topic\/kb5028997-instructions-to-manually-resize-your-partition-to-install-the-winre-update-400faa27-9343-461c-ada9-24c8229763bf\" target=\"_blank\" rel=\"noopener\">Anweisungen, um die Gr\u00f6\u00dfe Ihrer Partition manuell zu \u00e4ndern, um das WinRE-Update zu installieren<\/a>, die einerseits in verschiedenen F\u00e4lle nicht ausreichend oder schlicht untauglich war (wenn die WinRE-Umgebung nicht aktiv oder nicht vorhanden ist). Und andererseits ist diese Anleitung in vielen F\u00e4llen schlicht nicht durchf\u00fchrbar.<\/p>\n<ul>\n<li>Ein Administrator in einer Firmenumgebung kann nicht manuell die Partitionsgr\u00f6\u00dfe bei Tausenden an Clients ver\u00e4ndern.<\/li>\n<li>Gut 99% der betroffenen Windows-Nutzer d\u00fcrften zudem mit der Behebung des Fehlers (anpassen der Partitionsgr\u00f6\u00dfen, aktivieren der WinRE-Partition) schlicht heillos \u00fcberfordert sein.<\/li>\n<\/ul>\n<p>Speziell der letztgenannte Punkt ist als heikel anzusehen, da die Anpassung der Partitionsgr\u00f6\u00dfe nicht nur Fachwissen sondern h\u00e4ufig auch Tools von Drittanbietern erfordert (die Windows Bordmittel haben viele Einschr\u00e4nkungen, so dass die Vergr\u00f6\u00dferung teilweise unm\u00f6glich ist). F\u00fcr Administratoren hat Microsoft zwar ein PowerShell-Script zur Reparatur ver\u00f6ffentlicht (siehe <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/14\/microsoft-powershell-script-gegen-installationsfehler-0x80070643-bei-kb5034441-jan-2024\/\">Microsoft PowerShell-Script gegen Installationsfehler 0x80070643 bei KB5034441 (Jan. 2024)<\/a>), was aber auch Fachwissen und manchmal \"etwas Gl\u00fcck\" erfordert, um das Update installieren zu k\u00f6nnen.<\/p>\n<blockquote><p>Es gibt auf Github auch ein Dritt-Anbieter PowerShell-Script <a href=\"https:\/\/github.com\/MHimken\/WinRE-Customization\" target=\"_blank\" rel=\"noopener\">WinRE-Customization<\/a>, welches die Partitionsanpassung und mehr unterst\u00fctzen soll.<\/p><\/blockquote>\n<h2>Microsoft bessert nach<\/h2>\n<p>In den Nutzerkommentaren war h\u00e4ufig zu lesen \"ich warte, bis Microsoft einen Fix herausbringt\". Pers\u00f6nlich war ich diesbez\u00fcglich zwar skeptisch &#8211; und Betroffene hatten das Problem, dass das Update wiederholt zur Installation angeboten wird und dann scheitert.<\/p>\n<p>Nutzer, bei denen sich das Update immer wieder installieren will, k\u00f6nnen versuchen, dieses in nicht verwalteten Umgebungen unter Windows 10 \/ 11-Version mittels des Microsoft Tools <a href=\"http:\/\/download.microsoft.com\/download\/F\/2\/2\/F22D5FDB-59CD-4275-8C95-1BE17BF70B21\/wushowhide.diagcab\">Show or Hide Updates<\/a> zu blockieren. In verwalteten Unternehmensumgebungen k\u00f6nnen Administratoren die Verteilung des Updates aussetzen. Ob Microsoft das Update zur\u00fcckgezogen hat, ist mir aktuell unklar bzw. unbekannt.<\/p>\n<p>Inzwischen hat Microsoft aber wohl eingesehen, dass man es wieder einmal verpatzt hat. Es war im Grunde ein Desaster mit Ansage, denn im Januar 2023 gab es ein \u00e4hnliches Desaster (siehe z.B. <a href=\"https:\/\/borncity.com\/blog\/2023\/01\/19\/windows-10-schlagloch-windows-pe-patch-zum-fix-der-bitlocker-bypass-schwachstelle-cve-2022-41099\/\">Windows 10: \"Schlagloch\" Win RE-Patch zum Fix der Bitlocker-Bypass-Schwachstelle CVE-2022-41099<\/a> und die nachfolgenden Links am Beitragsende). Es ist nicht sonderlich schlau, ein solches Update im Dezember oder im Januar auszurollen, wo viele Leute in Urlaub sind oder die Feiertage begehen.<\/p>\n<p><a href=\"https:\/\/www.windowslatest.com\/2024\/01\/15\/windows-10-kb5034441-fails-with-a-0x80070643-error-but-theres-a-fix\/\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Update-Probleme\" src=\"https:\/\/i.postimg.cc\/7YYGyWmR\/image.png\" alt=\"Update-Probleme\" \/><\/a><\/p>\n<p>Inzwischen berichten aber einige Medien wie <a href=\"https:\/\/www.windowslatest.com\/2024\/01\/15\/windows-10-kb5034441-fails-with-a-0x80070643-error-but-theres-a-fix\/\" target=\"_blank\" rel=\"noopener\">Windows Latest<\/a> oder <a href=\"https:\/\/www.bleepingcomputer.com\/news\/microsoft\/microsoft-working-on-a-fix-for-windows-10-0x80070643-errors\/\" target=\"_blank\" rel=\"noopener\">Bleeping Computer<\/a>, dass\u00a0 Microsoft sich der Probleme bewusst sei und daran arbeitet, diese Probleme zu beheben. Redmond will \"in K\u00fcrze\" weitere Informationen zur Verf\u00fcgung stellen. F\u00fcr die Masse der Betroffenen hei\u00dft es in meinen Augen daher abwarten, was Redmond da ausbr\u00fctet.<\/p>\n<p>Die Bitlocker-Bypassing-Schwachstelle halte ich \u00fcbrigens nicht f\u00fcr so sonderlich kritisch, weil der Angreifer einen physischen Zugriff auf das System ben\u00f6tigt. In Firmenumgebungen w\u00e4ren Szenarien denkbar, wo Notebooks mit sensiblen Informationen geklaut werden oder verloren gehen und durch Bitlocker vor fremden Augen gesch\u00fctzt werden m\u00fcssen. Wenn ein Angreifer gezielt Informationen von einem Ger\u00e4t ben\u00f6tigt, wird es sicher Wege geben, das auch auf anderem Weg zu bewerkstelligen.<\/p>\n<h2>Eintrag auf Release Health<\/h2>\n<p>Abschlie\u00dfend noch ein erg\u00e4nzender Hinweis. Microsoft hat zum 18. Januar 2024 den Eintrag <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/release-health\/status-windows-10-22h2#3231msgdesc\" target=\"_blank\" rel=\"noopener\">The January 2024 Windows RE update might fail to install<\/a> in den Known Issue im Release-Healt-Bereich von Windows 10 22H2 ver\u00f6ffentlicht. Gleiches gibt es f\u00fcr Windows Server 2022 (<a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/release-health\/status-windows-server-2022\" target=\"_blank\" rel=\"noopener\">siehe<\/a>) und Windows 11 21H2 (<a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/release-health\/status-windows-11-21h2\" target=\"_blank\" rel=\"noopener\">siehe<\/a>). F\u00fcr Windows 11 22H2 und 23H2 wird es keinen Eintrag geben, weil dessen WinRE-Umgebung bereits gepatcht ist. Im Eintrag werden die obigen Hinweise zur Korrektur des Installationsfehlers gegeben.<\/p>\n<p>Dort findet sich auch eine Liste der betroffenen Windows-Versionen (Windows 10 21H2-22H2, Windows 11 21H2, Windows Server 2022) samt dem Hinweis, dass bei Systemen ohne WinRE-Umgebung das betreffende Update KB5034441 nicht gebraucht werde. Man k\u00f6nne dann den Installationsfehler ignorieren &#8211; tolle L\u00f6sung &#8211; das Update bei fehlender WinRE einfach nicht zu installieren, wurde nicht implementiert. Im Support-Beitrag in den Known Issues findet sich zudem der Hinweis \"<strong>Next steps: <\/strong>We are working on a resolution and will provide an update in an upcoming release.\"<\/p>\n<h2>Secure Boot-Versch\u00e4rfung ab April 2024!<\/h2>\n<p>Das wird auch bitter notwendig werden, denn bei heise habe ich den <a href=\"https:\/\/www.heise.de\/news\/Microsoft-Tipps-zu-Fehler-0x80070643-Erinnerung-an-Bootloader-Blockliste-9602178.html\" target=\"_blank\" rel=\"noopener\">Hinweis<\/a> gelesen, dass Microsoft plant, Systeme mit unsicherem WinRE ab April 2024 am Booten zu hindern. Die Information findet man <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/release-health\/windows-message-center\" target=\"_blank\" rel=\"noopener\">Windows Message Center<\/a> unter dem Eintrag <a href=\"https:\/\/support.microsoft.com\/help\/5025885\" target=\"_blank\" rel=\"noopener\">Reminder: Changes to Windows Boot Manager revocations for Secure Boot effective April 9, 2024<\/a>. Dort hei\u00dft es:<\/p>\n<blockquote><p>Windows updates released July 11, 2023 and later include security measures which protect against a Secure Boot bypass vulnerability disclosed in <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2023-24932\">CVE-2023-24932<\/a>. <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/security\/operating-system-security\/system-security\/trusted-boot\" target=\"_blank\" rel=\"noopener\">Secure Boot<\/a> is a Windows security feature designed to protect devices from bootkit malware.<\/p>\n<p>Administrators should observe mitigations and security enforcement requirements coming into effect with Windows updates released on and after <strong>April 9, 2024<\/strong>. These updates will provide new mitigations to block additional vulnerable boot managers. Windows updates released on and after <strong>October 8, 2024<\/strong> will enforce the Code Integrity Boot policy and Secure Boot disallow list revocations related to this hardening. There will be no option to disable this enforcement after this update.<\/p>\n<p>To enable protections manually, it's necessary to ensure all devices and bootable media are updated and ready for this security hardening change. Users should determine whether it's important to enable protections now, or wait for a future update from Microsoft. To better assess this, in addition to understanding the options available for configuring these security requirements, see <a href=\"https:\/\/support.microsoft.com\/help\/5025885\" target=\"_blank\" rel=\"noopener\">KB5025885: How to manage the Windows Boot Manager revocations for Secure Boot changes associated with CVE-2023-24932<\/a>.<\/p><\/blockquote>\n<p>In Kurzform: Administratoren m\u00fcssen die ge\u00e4nderten Sicherheitsanforderungen beachten, die mit Windows-Updates, die am und nach dem 9. April 2024 ver\u00f6ffentlicht werden, in Kraft treten. Diese Updates aktivieren neue Schutzma\u00dfnahmen, um zus\u00e4tzliche anf\u00e4llige Bootmanager zu blockieren. Windows-Updates, die am und nach dem 8. Oktober 2024 ver\u00f6ffentlicht werden, setzen die Code Integrity Boot-Richtlinie und die Sperrlistenwiderrufe von Secure Boot im Zusammenhang mit dieser H\u00e4rtung durch. Nach diesem Update gibt es keine M\u00f6glichkeit mehr, diese Durchsetzung zu deaktivieren. Das riecht nach weiterem \u00c4rger.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/10\/patchday-windows-10-updates-9-januar-2024\/\">Patchday: Windows 10-Updates (9. Januar 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/10\/patchday-windows-11-server-2022-updates-9-januar-2024\/\">Patchday: Windows 11\/Server 2022-Updates (9. Januar 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/11\/windows-winre-update-gegen-cve-2024-20666-scheitert-mit-installationsfehler-0x80070643-jan-2024-kb5034441\/\">Windows WinRE-Update gegen CVE-2024-20666 scheitert mit Installationsfehler 0x80070643 (Jan. 2024, KB5034441)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/14\/microsoft-powershell-script-gegen-installationsfehler-0x80070643-bei-kb5034441-jan-2024\/\">Microsoft PowerShell-Script gegen Installationsfehler 0x80070643 bei KB5034441 (Jan. 2024)<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2023\/01\/19\/windows-10-schlagloch-windows-pe-patch-zum-fix-der-bitlocker-bypass-schwachstelle-cve-2022-41099\/\">Windows 10: \"Schlagloch\" Win RE-Patch zum Fix der Bitlocker-Bypass-Schwachstelle CVE-2022-41099<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/01\/27\/windows-10-neues-zum-winre-patch-fix-der-bitlocker-bypass-schwachstelle-cve-2022-41099\/\">Windows 10: Neues zum WinRE-Patch (Fix der Bitlocker-Bypass-Schwachstelle CVE-2022-41099)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/03\/17\/windows-10-11-microsoft-verffentlicht-script-fr-den-winre-bitlocker-bypass-fix\/\">Windows 10\/11: Microsoft ver\u00f6ffentlicht Script f\u00fcr den WinRE BitLocker Bypass-Fix<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Nachtrag zum Januar 2024-Patchday, wo zahlreiche Nutzer mit dem Update KB5034441 in den Installationsfehler 0x80070643 liefen. Dieses Update soll eine Schwachstelle bez\u00fcglich der Bitlocker-Verschl\u00fcsselung in der WinRE-Umgebung beseitigen. Es gibt zwar L\u00f6sungsans\u00e4tze, die aber f\u00fcr die meisten Nutzer zu kompliziert &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/19\/microsoft-arbeitet-an-einem-fix-fr-den-installationsfehler-0x80070643-beim-winre-update-kb5034441\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7862,185,301],"tags":[8446,24,4315,3288],"class_list":["post-290715","post","type-post","status-publish","format-standard","hentry","category-stoerung","category-update","category-windows","tag-patchday-1-2024","tag-problem","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/290715","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=290715"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/290715\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=290715"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=290715"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=290715"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}