[English]Am 14. Juni 2022 (zweiter Dienstag im Monat, Patchday bei Microsoft) wurden verschiedene kumulative Updates für die unterstützten Windows 10 Builds (von der RTM-Version bis zur aktuellen Version) freigegeben. Dabei wurde auch die Follina genannte Schwachstelle in MSDT geschlossen. Hier einige Details zu den jeweiligen Sicherheitsupdates.
Anzeige
Eine Liste der Updates lässt sich auf dieser Microsoft-Webseite abrufen. Ich habe nachfolgend die Details herausgezogen. Seit März 2021 integriert Microsoft ja die Servicing Stack Updates (SSUs) für neuere Windows 10 Builds in das kumulative Update. Die Beschreibung der Fixes in den Sicherheitsupdates vom 14. Juni 2022 fällt äußerst knapp aus. Wer Details zu den Fixes sucht, muss in den Beschreibungen zu den Preview-Updates der Vorwochen nachsehen (siehe auch die Liste der am Artikelende verlinkten Beiträge).
Updates für Windows 10 Version 20H2-21H2
Für die oben erwähnten Windows 10 Versionen stellt Microsoft nur ein Update-Paket, welches nachfolgend genannt wird, bereit.
Update KB5014699 für Windows 10 Version 20H2 – 21H2
Das kumulative Update KB5014699 hebt die OS-Build bei Windows Server Version 20H2 auf 19042.1766, bei Windows 10 Version 21H1 auf 19043.1766 und bei Windows 10 Version 21H2 auf 19044.1766. Das Update enthält nur Sicherheitsfixes, aber keine neuen Betriebssystemfunktionen – wobei Microsoft folgende Details angibt:
Addresses an elevation of privilege (EOP) vulnerability under CVE-2022-30154 for the Microsoft File Server Shadow Copy Agent Service. To become protected and functional, you must install the June 14, 2022 or later Windows update on both the application server and the file server. The application server runs the Volume Shadow Copy Service (VSS)-aware application that stores data on the remote Server Message Block 3.0 (or higher) shares on a file server. The file server hosts the file shares. If you don't install the update on both machine roles, backup operations carried out by applications, which previously worked, might fail. For such failure scenarios, the Microsoft File Server Shadow Copy Agent Service will log FileShareShadowCopyAgent event 1013 on the file server. For more information, see KB5015527.
Dass die MSDT-Schwachstelle CVE-2022-30190 (Follina) geschlossen wurde, ist nicht explizit im Support-Beitrag erwähnt. Microsoft weist darauf hin, dass dieses Update Qualitätsverbesserungen am Servicing Stack (ist für Microsoft Updates verantwortlich) durchführt. Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich.
Anzeige
Beachtet bei Windows Server die im Support-Beitrag KB5014699 beschriebene Installationsreihenfolge und auch die Hinweise zu weiteren Anforderungen. Für das Update gibt Microsoft verschiedene bekannte Probleme im Supportbeitrag an.
Updates für Windows 10 Version 1809
Windows 10 Oktober 2018 Update (Version 1809) ist zwar aus dem Support gefallen, für Windows 10 Enterprise 2019 LTSC und Windows Server 2019 steht aber folgendes Updates zur Verfügung.
Update KB5014692 für Windows 10 Enterprise 2019 LTSC /Windows Server 2019 LTSC
Das kumulative Update KB5014692 hebt die OS-Build (laut MS) auf 17763.3046 und beinhaltet Qualitätsverbesserungen aber keine neuen Betriebssystemfunktionen. Auch für diese Windows 10-Version, die nur noch Updates für Enterprise LTSC und IoT Enterprise LTSC erhält (die restlichen Varianten sind am 11. Mai 2021 aus der Versorgung mit Sicherheitsupdates herausgefallen) gibt Microsoft den gleichen Sicherheitsfix wie bei Update KB5014699 an.
Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog, per WSUS und WUfB erhältlich. Microsoft hat zudem das Service Stack Update (SSU) auf die Build 17763.2865 aktualisiert. Beachtet bei Windows Server die im Support-Beitrag KB5014692 beschriebene Installationsreihenfolge und auch die Hinweise zu weiteren Anforderungen. Für das Update gibt Microsoft verschiedene bekannte Probleme im Supportbeitrag an. Details finden sich im KB-Artikel.
Updates für Windows 10 Version 1507 bis 1607
Für Windows 10 RTM bis Version 1607 stehen Updates für die Enterprise LTSC-Versionen zur Verfügung. Diese Updates werden automatisch von Windows Update heruntergeladen und installiert, stehen aber im Microsoft Update Catalog als Download zur Verfügung (nach der KB-Nummer suchen lassen). Vor der manuellen Installation muss das aktuellste Servicing Stack Update (SSU) installiert werden. Details sind im jeweiligen KB-Artikel zu finden.
- Windows 10 Version 1607: Update KB5014702 steht nur noch für Enterprise LTSC sowie Windows Server 2016 bereit. Das Update hebt die OS-Build auf 14393.5192.
- Windows 10 Version 1507: Update KB5014710 steht für die RTM-Version (LTSC) bereit. Das Update hebt die OS-Build auf 10240.19325.
Für die restlichen Windows 10 Versionen gab es kein Update, da diese Versionen aus dem Support gefallen ist. Details zu obigen Updates sind im Zweifelsfall den jeweiligen Microsoft KB-Artikeln zu entnehmen.
Ergänzung: Beachtet meine Beiträge zur Patchday-Nachlese in folgender Linkliste.
Ähnliche Artikel:
Microsoft Office Updates (7. Juni 2022)
Microsoft Security Update Summary (14. Juni 2022)
Patchday: Windows 10-Updates (14. Juni 2022)
Patchday: Windows 11/Server 2022-Updates (14. Juni 2022)
Windows 7/Server 2008R2; Windows 8.1/Server 2012R2: Updates (14. Juni 2022)
Windows 10 21H1 – 21H2/Server 20H2: Preview Update KB5014023 (2. Juni 2022) behebt Fehler
Windows Server 2022 Preview Update (24.5.2022)
Windows 11: Preview-Update KB5014019 vom 24. Mai 2022
Windows 10 / Windows Server 1809 Preview Updates (24.5.2022)
Patchday-Nachlese Juni 2022: Probleme mit Windows-Updates, Intel-Schwachstelle, Dokumentation
Juni 2022 Patchday-Nachlese (Teil 2): RDP-, VPN-, WLAN-, Hotspot-Verbindungsprobleme und mehr
Juni 2022-Updates: Probleme mit RDP unter Windows, BlackBerry UEM BSCP als Ursache?
Follina: Angriff über Word-Dokumente und ms-msdt-Protokoll (CVE-2022-30190)
Follina-Schwachstelle (CVE-2022-30190): Status, Erkenntnisse, Warnungen & Angriffe
0Patch Micro-Patch gegen Follina-Schwachstelle (CVE-2022-30190) in Windows
Follina (CVE-2022-30190): Angriffswelle ausgeblieben, aber Kampagnen auf EU/US und andere Ziele
Follina-Schwachstelle (CVE-2022-30190): Neue Erkenntnisse, neue Risiken (9.6.2022)
Anzeige
läuft mal wieder. Windows 10 21H2 Clients mit Policy für Windows Update Product Version Windows 10 und TargetReleaseVersionInfo 21H2 finden das .NET Security Update nicht wenn direkt von Microsoft nach Updates gesucht wird. Erst bei deaktivieren der Policy wird das Update gefunden und auch wieder Werbung für Windows 11 Update gemacht. Nach einschalten der Policy verschwindet die Windows 11 Update Werbung wieder.
Das sowohl bei Professional als auch Enterprise Edition.
Bekommen die in Redmond irgendwas gebacken?
nehme alles zurück ist kein sec relevantes Update, daher nicht in Windows Update for Business inkludiert.
Guten Morgen,
na wer traut sich als erstes die Updates auf den 2019er Server zu installieren?
Bei Reddit und co habe ich noch nix gelesen.
Habt ihr schon erste Erfahrungen?
Danke und einen schönen Mittwoch
Sebastian
Hallo,
Bis jetzt alles glatt gelaufen, testweise installiert auf einem 2019er, einem 2012R2, einem W10 21H1 und einem W10 21H2.
Allerdings waren wir auch grösstenteils von den Patch-Problemen der letzten Monate verschont geblieben.
Calvin
Clients bisher auch ohne Probleme. Server noch keine gepatcht!
Clients laufen ohne Probleme.
Hab nun auch bei Reddit den passenden Thread gefunden
reddit.com
Hätte heute mein reguläres Wartungsfenster (alle 2 Wochen) und würde das eigentlich wegen Urlaub gern über die Bühne bringen aber nach dem letzten Monat … naja
Beachtet den kleinen Hinweis im Artikel, dass die Installation auf Servern eine bestimmte Reihenfolge erfordert. Details im jeweiligen KB-Artikel.
"
Install this June 14, 2022 update on all intermediate or application servers that pass authentication certificates from authenticated clients TO the domain controller (DC) first.
THEN install this update on all DC role computers.
"
das ließt sich aber eher andersrum….
Stimmt!
ja das wäre ja wieder der Supergau! Bevor ich auf DC's installiere, installiere ich erstmal alle anderen Server…
Die Reihenfolge ist also: DCs zuletzt ?
In meinem Test AD habe ich die DCs zuerst installiert ;-) , bevor ich dies hier gelesen habe…
ABER: wenn ich das richtig verstanden habe, dann betrifft dies doch NUR Umgebungen, die Client-Auth per Client-Zertifikat machen – richtig?
Bei mir funktionieren die WMI-Abfragen von meinem Monitor-System (icinga2) nicht mehr ("NTSTATUS: NT_STATUS_ACCESS_DENIED – Access denied").
Ein Test mit dem WMI Explorer unter Windows ergab, dass es mit Computern in der gleichen Domäne wie gewohnt funktioniert. Ist der Windows-Computer nicht Mitglied der Domäne ist keine Anmeldung an WMI möglich.
Das Problem betrifft bei mir Windows Server 2012 und Windows Server 2019.
Arne, dies könnte mit den geplanten Änderungen zusammenhängen, die in diesem Palo Alto-Artikel beschrieben werden: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004MI6CAM
Das gleich Problem tritt, weil die gleichen Softwaretools verwendet werden, auch mit dem NEMS Linux Monitor auf. Der Hinweis von Pete MsDonell ist aber auch hier Goldwert, zumindest bis März 2023. Das Problem, nämlich dass die Entwicklung von check_wmi_plus bzw wmic schon lange hinterhinkt und auch das gestartete Kickstart nicht wirklich voran kommt, bleibt:
Auch Nagios wird davon betroffen sein, weil alle letztlich um wmic herum gebaut haben. Mal schauen, ob jetzt wieder ein wenig Schwung reinkommt.
Ich habe das Problem auch.
Nach Installation von KB5014678 auf Server 2022 sind keine nagios WMI-Abfragen mehr möglich. Deinstallation lässt diese wieder zu.
Leider habe ich keinen Workaround gefunden, der Follina schließt und WMI-Abfragen von nagios wieder zulässt.
Weiß da jemand mehr?
Ich habe gerade auf unseren PCs in den Konferenzräumen die Updates angestoßen und installiert, da diese an einer separaten Internetleitung und somit nicht am WSUS hängen. Auffällig war, dass sowohl der Download direkt von MS, als auch die Installation außergewöhnlich lange gedauert und der Taskmanager sehr hohe CPU und SSD Aktivität angezeigt hat. Mir scheint, dass ordentlich "unter der Haube geschraubt" wurde.
Ich habe ein paar Testserver (2012 R2, 2016, 2019 und 2022) und Windows 10,11 Clients mit dem 2022-06 gepatcht. Microsoft Endpoint Manager zeigt auf den Systemen den Follina Zeroday als gelöst an.
Probleme habe ich bis jetzt mit keinem System, sind aber auch alles Testsysteme ;)
Server 2012 R2 Hyper V, normaler Server 2019 (Mailstore Server), normale 2012 R2 Server gepatcht! bisher alles gut
Ist schon bei jemandem der Internet Explorer "verschwunden"? Bei mir ist nach dem Update nichts passiert….
Schrecklich… Bei mir unter 21H2 ist er auch noch da, er öffnet beim Start aber eine Seite, die einen zum Wechsel auffordert.
Seit der Installation des Updates bricht bei Aktivierung des Mobile Hotspots die LAN-Verbindung zusammen. (Win 10 PC)
Can confirm. Sobald sich ein Client mit dem Hotspot verbindet, ist die Internetleitung dann tot (egal, ob diese im LAN/Ethernet oder WLAN besteht). Auch zwischen Client und Host ist keine Verbindung möglich.
Ich bekomme auf mehren Server 2019 KB5014692 nicht installiert. Gemeldet wird Fehler 0x800f0983 (so weit ich herausfinden konnte irgend eine fehlende Vorraussetzung für das Update). Interessanter weise erhalte ich beim Versuch KB5014022 (das out of band Update von Ende Mai) zu installieren den selben Fehler. Das scheint also etwas zu sein, was im oob Mai Update dazu kam. Hab mir mal eine Kiste mit älterem Update Stand gesucht, die das selbe Problem hatte, dort konnte ich das Problem nachstellen KB5014692 + KB5014022 werfen Fehler 0x800f0983, KB5013941 (Das normale Mai Update) ließ sich einwandfrei installieren.
Jemand das selbe Problem oder eine Idee?
Ich hab aber auch mehrere Server ohne Probleme updaten können.
Dazu gibt es keine Pauschalaussage. Da musst du in den Logs grasen, was angemeckert wird. Die beiden mal für den Anfang:
C:\Windows\Logs\CBS\CBS.log
C:\Windows\Logs\DISM\dism.log
Ansonsten mal die üblichen Verdächtigen ausprobieren:
dism /Online /Cleanup-Image /ScanHealth
dism /Online /Cleanup-Image /CheckHealth
dism /Online /Cleanup-Image /RestoreHealth
dism /Online /Cleanup-Image /StartComponentCleanup
sfc /scannow
Frage von einem popligen Homeuser:
Das Update hat wohl das Follina-Prob gelöst. Kann ich den Registry-Workaround also wieder rückgängig machen?
Ja, genau.
Die gesicherten Reg-Keys können wieder importiert werden.
Hello,
Regarding WMI Queries and June 2022 Patches.
Confirmed. KB5014702
All my Nagios WMI Monitoring on Servers stopped working.
[wmi/wmic.c:196:main()] ERROR: Login to remote object.
NTSTATUS: NT_STATUS_ACCESS_DENIED – Access denied
More Info:
[auth/gensec/gensec.c:606:gensec_start_mech()] Failed to start GENSEC client mech gssapi_krb5: NT_STATUS_INTERNAL_ERROR
There is alot more in a debug log for wmi.
Environment: Nagios Wmi with check_wmi_plus.pl Ubuntu
Confirmed Removal of the Above KB problem resolved.
Watch this:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004MI6CAM as posted from Pete McDonnell.
You can just install the Patch and make the Registry Changes, but it will work only until March 2023! The Tools (check_wmi_plus aka wmic) are outdated and must be rewritten:
Michael
Hello,
But this was not installed on Domain Controllers,
these are normal servers hosting xx software or IIS features.
Your absolutely correct wmic is outdated but this is an un expected behavior as we have not updated domain controllers yet.
The knowlegebase article is a little bit wrong. You have to create the registry key on each server you are monitoring. The domain controller have nothing to do with it! I think the tool there is only monitoring dc's!
Hallo,
Seit der Installation vom Update KB5014699 auf 5 Clients von HP habe ich das Problem, dass die Explorer.exe und das Startmenü sich im 5 Minuten Takt aufhängen.
Teilweise hängen die PC´s bis zu 15 Minuten wenn man nichts macht.
Es bleibt sogar die Uhrzeit in der Taskleiste stehen.
Habe das Update von den Clients wieder deinstalliert und das Problem ist weg.
Hat jemand das gleiche Problem feststellen können?
Im Internet finde ich diesbezüglich nicht wirklich was.
Ich empfehle dir meinen Blog-Beitrag Windows 10 21H2: Explorer-/Taskbar-Probleme und die Kollision der Search Highlights mit "HP Development Company, L.P. – Extension – 8.10.5.34686" zur Lektüre. Du dürftest das Goodie Suchhervorhebungen mit dem Patchday in deiner Umgebung (ich vermute Domain) bekommen haben.
Hallo Günter,
Danke für die Info. Ja, ist eine Domain.
Hatte den Artikel schon mal gelesen aber irgendwie verdrängt, weil ich normal mit HP Geräten normal nix zu tun habe.
Die Suchhervorhebung habe ich per GPO jetzt abgedreht und das Update auf einer Maschine wieder installiert.
Warte jetzt auf eine Rückmeldung vom Kunden.
LG
Gandhi
Rückmeldung von Kunden kam heute. Alles soweit wieder gut.
Kann/darf die Updates wieder installieren.
Dank an Günter für die Info und seinem Blog.