[English]Microsoft hat ein neues Servicing Stack Update (SSU) für Windows 10 freigegeben. Dass SSU KB5001205 soll eine Schwachstelle beim fixt Security Boot beheben. Diese Schwachstelle wurde durch ein vorheriges Update für den Security Boot aufgerissen.
Anzeige
Gestern hatte ich ja im Blog-Beitrag Windows 10 1809/1909: Preview-Updates (25.3.2021) über Vorschau-Updates für Windows 10 berichtet. Das Vorschau-Update soll eine Reihe an Problemen beheben und den alten Edge-Browser aus der betreffenden Windows 10 Version 1909 entfernen.
Neues SSU KB5001205 für Windows 10 Version 1909
Für Windows 10 Version 1909 wurde auch das Service Stack Update (SSU) KB5001205 erwähnt, dessen Installation von Microsoft dringend empfohlen wird. Ich habe mir jetzt mal die Beschreibung dieses SSU , welches für die Intel und ARM-Versionen von Windows 10 Version 1909 und Windows Server Version 1909 (Server Core Installation) freigegeben wurde, genauer angesehen. Im Support-Beitrag heißt es dazu.
This update makes quality improvements to the servicing stack, which is the component that installs Windows updates. Servicing stack updates (SSU) makes sure that you have a robust and reliable servicing stack so that your devices can receive and install Microsoft updates.
Das ist nichts neues, da die Verbesserung der Qualität und Stabilität des Servicing Stack und von Windows Update immer das Ziel der inzwischen wohl monatlichen SSUs ist. Aber es gibt noch einen Zusatz, der auf eine Security Boot-Schwachstelle abstellt.
This update also addresses an issue that might prevent the CVE-2020-0689 update from installing. The error message in the CBS.log file is TRUST_E_NOSIGNATURE. To learn more about this security vulnerability, see CVE-2020-0689 | Microsoft Secure Boot Security Feature Bypass Vulnerability.
Dort erfährt der verdutzte Leser, dass mit dem SSU auch ein Problem behoben wird, dass das Update für CVE-2020-0689 an der Installation hindert. Microsoft gibt dort keine weiteren Details bekannt (und bei den Kollegen hier habe ich auch nichts gelesen).
Der Fehler TRUST_E_NOSIGNATURE (Fehlercode 0x800b0100) signalisiert wohl, dass keine gültige Signatur im Paket gefunden wurde. Da das SSU nur für Windows 10 V1909 freigegeben wurde, scheint es kein Problem mit dem Update, sondern ein Problem mit dem Servicing Stack in Windows Update gewesen zu sein.
Dieses SSU-Update wird per Windows Update auf entsprechenden Systemen angeboten, kann aber auch über den Microsoft Update Catalog als Paket heruntergeladen und dann manuell installiert werden. Zudem bietet Microsoft dieses Update im WSUS zur Verteilung auf betroffene Maschinen an, man misst dem Problem wohl eine hohe Bedeutung zu.
Der Hintergrund der Schwachstelle
Im Januar 2021 gab es das Sicherheitsupdate KB4535680 (Security update for Secure Boot DBX: January 12, 2021), welches ich im Blog-Beitrag Windows Sicherheitsupdate KB4535680 für Secure Boot (DBX) behandelt habe. Bei Windows-Geräten mit UEFI (Unified Extensible Firmware Interface)-basierter Firmware gab es eine Schwachstelle, die eine Umgehung von Sicherheitsfunktionen in Secure Boot ermöglicht (siehe CVE-2020-0689 | Microsoft Secure Boot Security Feature Bypass Vulnerability). Die Secure Boot Forbidden Signature Database (DBX) konnte das Laden von UEFI-Modulen nicht verhindern. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Secure Boot umgehen und nicht vertrauenswürdige Software laden. Das Sicherheitsupdate KB4535680 (Security update for Secure Boot DBX: January 12, 2021) brachte diesbezüglich Verbesserungen am Secure Boot DBX für die unterstützten Windows-Versionen, indem es neue Module zur DBX hinzufügt. Das Sicherheitsupdate wurde für Windows 8.1/Server 2012/R2 bis Windows 10 Version 1909 und dessen Server-Pendants ausgerollt.
Ärger bei Bitlocker-Systemen
Das Sicherheitsupdate KB4535680 hat aber nicht nur eine Fehlermeldung TRUST_E_NOSIGNATURE in der CBS.log von einzelnen Windows 10-Systemen hinterlassen. Bei einer Suche im Blog bin fündig geworden. Im Artikel Windows 10: Löst KB4535680 ein Bitlocker-Recovery aus? hatte ich berichtet, dass dieses Update mach der Installation ein Bitlocker-Recovery auf diversen Windows 10-Geräten auslöste. Speziell HP-Geräte scheinen betroffen zu sein – aber auch Surface Laptop 1/2 wurde genannt. Keine Ahnung, ob dieses Problem mit dem neuen SSU-Update auf bestimmte Maschinen ebenfalls behoben wurde. War jemand von diesem Problem (a) Fehler bei der Installation oder b) Bitlocker-Fehler) betroffen und ist dieses durch das SSU behoben?
Ähnliche Artikel:
Windows Sicherheitsupdate KB4535680 für Secure Boot (DBX)
Microsoft Patchday-Nachlese (Januar 2021)
Windows 10: Löst KB4535680 ein Bitlocker-Recovery aus?
Anzeige
2015
Das vorherige SecureBoot-Update hat keine Lücken aufgerissen, es ließ sich nicht installieren oder es wurde nicht angewandt.
Laut MS: „ This update also addresses an issue that might prevent the CVE-2020-0689 update from installing."
Dies ist auf einen Bug im Servicing Stack zurückgeführt worden, der mit diesem SSU behoben wurde.
Viele Grüße
Bei mir taucht KB5001205 nicht am WSUS auf. Bin aktuell mit dem Problem konfrontiert, dass bei einem meiner Clients, das problematische Security Update fehlschlägt.