[English]Am 9. Mai 2023 (zweiter Dienstag im Monat, Patchday bei Microsoft) hat Microsoft auch kumulative Updates für Windows 11 22H1 und 22H2 veröffentlicht. Zudem erhielt Windows Server 2022 ein Update. Hier einige Details zu diesen Updates, die Schwachstellen sowie Probleme beheben sollen.
Anzeige
Updates für Windows 11 21H1 – 22H2
Eine Liste der Windows 11 Updates lässt sich auf dieser Microsoft-Webseite abrufen. Ich habe nachfolgend die Details herausgezogen. Für die oben erwähnten Windows 11 Versionen stellt Microsoft nun folgende Updates bereit.
Update KB5026372 für Windows 11 22H2
Das kumulative Update KB5026372 hebt die OS-Build bei Windows 11 auf 22621.1702 und beinhaltet Qualitätsverbesserungen sowie Sicherheitspatches. In diesem Update kommen zusätzlich die im Preview-Update vom Vormonat erwähnten Neuerungen zum Einsatz (siehe Windows 11 22H2: Preview-Update KB5025305 (25.4.2023)). Im Supportbeitrag gibt Microsoft folgende Highlights und Neuerungen an:
- New! This update adds a new toggle control on the Settings > Windows Update page. When you turn it on, we will prioritize your device to get the latest non-security updates and enhancements when they are available for your device. For managed devices, the toggle is disabled by default. For more information, see Get Windows updates as soon as they're available for your device.
- This update addresses security issues for your Windows operating system.
Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Im Patch ist das Windows 11 Servicing Stack Update integriert. Das Update verursacht diverse Probleme, die im Support-Beitrag aufgeführt sind.
Update KB5026368 für Windows 11 21H2
Das kumulative Update KB5026368 hebt die OS-Build bei Windows 11 auf 22000.1936 und beinhaltet Qualitätsverbesserungen sowie Sicherheitspatches, aber keine neuen Betriebssystemfunktionen. Die Korrekturen aus dem Preview-Update des Vormonats sind eingeflossen (siehe Windows 11 21H2: Preview-Update KB5025298 (25.4.2023)). Bezüglich der durchgeführten Verbesserungen nennt Microsoft folgendes:
This update addresses a race condition in Windows Local Administrator Password Solution (LAPS). The Local Security Authority Subsystem Service (LSASS) might stop responding. This occurs when the system processes multiple local account operations at the same time. The access violation error code is 0xc0000005.
Microsoft weist darauf hin, dass dieses Update Qualitätsverbesserungen am Servicing Stack (der ist für Microsoft Updates verantwortlich) durchführt. Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Hinweise auf bekannte Probleme mit dem Update finden sich im Supportbeitrag.
Windows Server 2022
Für Windows Server 2022 wurde gemäß dieser Microsoft-Seite das kumulative Update KB5026370 (Windows Server 2022) freigegeben, welches die OS-Build auf 20348.1726 anhebt. Zu den Fixes, die dieses Update vornimmt, schreibt Microsoft:
- New! This update changes firewall settings. You can now configure application group rules.
- This update addresses an issue that affects conhost.exe. It stops responding.
- This update affects the Islamic Republic of Iran. The update supports the government's daylight saving time change order from 2022.
- This update addresses issues that affect the 32-bit version of Windows Calculator.
- This update addresses an issue that affects apps that use DirectX on older Intel graphics drivers. You might receive an error from apphelp.dll.
- The update addresses an issue that sends unexpected password expiration notices to users. This occurs when you set up an account to use "Smart Card is Required for Interactive Logon" and set "Enable rolling of expiring NTLM secrets".
- This update addresses an issue that affects Microsoft Edge IE mode. Pop-up windows open in the background instead of in the foreground.
- This update addresses an issue that affects the software defined networking (SDN) virtual subnet. The delete operation creates an error. This stops the virtual subnet from being deleted.
- The update addresses an issue that affects AzureService Fabric containers. This change is off by default. To enable the change, set Globals.RouteResolutionOrderConfig to TRUE. To propagate the value, move the primary node for VswitchService and SDNAPI. After you set the value, this change will apply to new and current network traffic routes.
- This update addresses an issue that affects protected content. When you minimize a window that has protected content, the content displays when it should not. This occurs when you are using Taskbar Thumbnail Live Preview.
- This update addresses an issue that affects mobile device management (MDM) customers. The issue stops you from printing. This occurs because of an exception.
- This update addresses an issue that affects signed Windows Defender Application Control (WDAC) policies. They are not applied to the Secure Kernel. This occurs when you enable Secure Boot.
- This update addresses an issue that affects the Windows Defender Application Control. The policy that blocks software using a hash rule might not stop the software from running.
- This update addresses an Active Directory Federation Services (AD FS). You might need to retry authentication multiple times to sign in successfully.
- This update addresses an issue that affects accounts that run the Set-AdfsCertificate command. The command fails. This occurs when an account does not have read permissions for the related Distributed Key Manager (DKM) container.
- This update addresses a race condition in Windows Local Administrator Password Solution (LAPS). The Local Security Authority Subsystem Service (LSASS) might stop responding. This occurs when the system processes multiple local account operations at the same time. The access violation error code is 0xc0000005.
- This update addresses an issue that affects the legacy Local Administrator Password Solution (LAPS) and the new Windows LAPS feature. They fail to manage the configured local account password. This occurs when you install the legacy LAPS .msi file after you have installed the April 11, 2023, Windows update on machines that have a legacy LAPS policy.
- This update addresses an issue that affects SMB Direct. Endpoints might not be available on systems that use multi-byte character sets.
Microsoft weist darauf hin, dass dieses Update Qualitätsverbesserungen am Servicing Stack (der ist für Microsoft Updates verantwortlich) durchführt. Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Hinweise auf bekannte Probleme mit dem Update finden sich im Supportbeitrag.
Ähnliche Artikel:
Microsoft Security Update Summary (9. Mai 2023)
Patchday: Windows 10-Updates (9. Mai 2023)
Patchday: Windows 11/Server 2022-Updates (9. Mai 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (9. Mai 2023)
Patchday: Microsoft Office Updates (9. Mai 2023)
Microsoft Office Updates (2. Mai 2023)
2015
Hat das was mit den geklauten UEFI-Keys von MSI und Intel zu tun? Wie funktioniert der BlackLotus Angriff?
https://support.microsoft.com/de-de/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d
https://www.bleepingcomputer.com/news/microsoft/microsoft-issues-optional-fix-for-secure-boot-zero-day-used-by-malware/
Das wäre auf jeden Fall eine Möglichkeit, das Problem mit den gestohlenen Zertifikaten zu beseitigen, erst neue Zertifikate an MSI und Intel vergeben und verteilen, und dann Monate später (Anfang 2024) die alten Zertifikate zurück ziehen. Ältere Boot-CDs kann man dann nur noch ohne Secure-Boot benutzen.
Ich kann KB5026372 nicht installieren. Egal ob per Windows Update oder direkt per msu, ich erhalte eine Fehlermeldung, dass es nicht installiert werden konnte. System ist 3 Wochen alt und hat bisher alle Updates problemlos installiert. Auch nach dem zurücksetzen auf einen älteren Wiederherstellungspunkt keine Chance. Vermutlich kann ich nur abwarten, bis das nächste Update kommt und hoffen, dass sich dieses dann installieren lässt. Oder hat jemand einen Vorschlag, wie ich das Problem lösen kann? Win Update habe ich bereits beendet, Softwareditribution gelöscht, Prozess neu gestartet etc. – leider ohne Erfolg. Fehlercode ist mal "0x80073712", mal "Installationsfehler – 0x800f081f" – beides jeweils nachdem die Installation 100% durchgelaufen ist.
Nachtrag: Win11 auf Werkseinstellungen setzen hat auch nicht geholfen. Daher mein Lösungsansatz, der funktioniert hat, falls jemand dasselbe Problem hat:
ISO von 22H2 Build 22621.1702 vom 9.5. bei Deskmodder gezogen (war vorher bei mir noch .16 irgendwas), Bootstick damit erstellt, Windows damit neu installiert. Das Sicherheitsupdate KB5026372 ist darin enthalten. Installation lief ohne Probleme, Windows Update zeigt mir an, dass ich auf dem aktuellen Stand bin.
Es ist zwar frustrierend, Windows neu aufsetzen zu müssen, aber nachdem ich 2 Tage versucht habe, das Problem anders zu lösen, war dies die einzige Sache, die geklappt hat, nachdem ich mit den Nerven durch war…
KB5026372 wurde problemlos Installiert. Secure Boot ist auf dem PC deaktiviert.
Auffällig: Windows 11 22H2 wurde zum abschließen der Installation 2x neu gestartet.
Seit KB5026372 haben wir diverse Probleme mit L2TP VPN Verbindungen.
Teilweise können diese nicht aufgebaut werden, und wenn sind sie extrem langsam.
Nach deinstallation läuft wieder alles wie es sollte. Ev. schon jemand mit den gleichen Problemen?
Ja hier, habe das Problem interessanterweise bis jetzt nur bei einen einzelnen Client (Win11 22H2).
Hab auf Reddit bereits Kommentare darüber gelesen:
Scheint also nicht nur bei dir aufzutreten!
Bei Reddit werden ("nur") Geschwindigkeitsprobleme gemeldet. Ich hatte PPP-Fehler ("ppp-verbindungsprotokoll wurde beendet"), die eine Verbindung mal ermöglichten, mal nicht. Wenn dann allerdings wirklich recht langsam, so dass größere Änderungen am Bildschirminhalt eine RDP-Sitzung massiv ausbremsten.
Zum Glück nur bei einer Test-VM. Solange solche Probleme auftreten bleibe ich bei Produktivsystemen auf Win10…
Ja hier auch bei allen Windows 11 Benutzern massive Geschwindigkeitsprobleme mit L2TP/IPSEC VPN. VPN wird zwar aufgebaut aber ist nicht benutzbar. Nach Deinstallation wieder fein.
Die Namensauflösung vom Veeam Server auf den HYPERV Cluster ist gestört! Sicherungen funktionieren nicht mehr. Nur der Veeam Server kann nach Update die HYPERVCL Adresse nicht mehr auflösen. Clients außerhalb des Clusters und die Knoten funktionieren und werden per DNS aufgelöst. NSlookup meldet für die Cluster Adresse einen Fehler. Von anderen Host über den selben DNS Server kein Fehler bei Auflösung.
Temporäre Lösung : Hosts Tabelle Eintrag gesetzt. Alles schick. Sicherungen laufen wieder.
Hat sonst noch jemand das Problem mit Drucken? RPC Server is Unavailable
Wenn ich den Patch wieder entferne, druckt es wieder einwandfrei.
Nachtrag: Mit dem Patch, machte ich es wie mein vorposter, ich trug die Printserver im Hosts File ein und siehe da, es druckt.
Hallo Yogi,
Hast du die Updates auf dem Server 2022 und auf dem Windows 11 Client installiert oder jeweils nur auf dem Server / Client?
Wo hast du die Host-Einträge gemacht? So wie ich das verstehe, wurden diese Clientseitig gemacht, damit der Printserver wieder erreicht werden kann, richtig?
Hallo zusammen,
Nach der Installation des Updates KB5026370 kann ich über Windows Server 2022 keine effektiven Berechtigungen mehr abfragen. Der Windows Explorer lastet die CPU aus, aber es passiert nichts. Hat noch jemand anderes dieses Problem feststellen können? Ungepatchte Server 2022 verhalten sich korrekt und wie gewohnt in der Hinsicht.
Beste Grüße
Hab es gerade eben mal auf einem unserer DC mit Windows Server 2022 getestet und kann das Problem tatsächlich reproduzieren.
Danke für die Rückmeldung. Bislang lese ich noch nirgends von diesem Problem, weshalb ich mir nicht sicher bin, ob das tatsächlich ein allgemeines Problem ist oder nur in Einzelfällen auftritt.
Wir haben auch große Probleme bei einem Kunden.
KB5026370 kann auf einem Domaincontroller nicht installiert werden – Fehler 0x80073712
Neustart der Maschine dauert lange und CPU hängt auf 100%, geht aber später runter.
Das große Problem ist aber, dass der Komponentenspeicher scheinbar defekt ist. Führt man ein "Get-WindowsFeature" in der Powershell aus, wird gemeldet: Der Komponentenspeicher wurde beschädigt. Fehler: 0x80073712
Ereignisanzeige meldet:
Fehlerbucket , Typ 0
Ereignisname: WindowsWcpStoreCorruption
Antwort: Nicht verfügbar
CAB-Datei-ID: 0
Problemsignatur:
P1: 10.0.20348.1720:2
P2: RegistryCorruption
P3: \Registry\Machine\COMPONENTS\\StoreDirty
Ist das bei Euch ggf. auch der Fall?
Ich versuche später mittels chkdsk und dism mein Glück, geht aber nur nach Feierabend.
Der Fehler KB5026370 steht für ERROR_SXS_COMPONENT_STORE_CORRUPT, 'Der Komponentenspeicher wurde beschädigt." – das ist ein spezielle Fehler auf der Maschine, der bei euch auftritt. Deckt sich ja auch mit deiner Beschreibung. Wenn sich per DISM nichts reparieren lässt und in der CBS.log keine Infos finden, was kaputt ist, wird es schwierig. Bei einem Client würde man diesen neu aufsetzen. Bei einem DC wird es schwierig. Lässt er sich ggf. über ein jüngeres Backup "reparieren"?
Der Befehl Get-WindowsFeature führt bei uns nicht zu einer Fehlermeldung, sondern listet schlicht alle Features und deren Installationsstatus auf.
Auf das "kann keine effektiven Berechtigungen mehr abfragen" bin ich Montag auch gestoßen. Habs aber zuerst nicht mit nem Update in Verbindung gebracht, da ich sonst nichts über das Problem gefunden habe.
Auch bei Microsoft steht noch nichts davon. Wer weiß, was da noch im Argen liegt. Vielleicht liegts ja auch irgendwie an der Namesnsauflösung wie oben schon geschrieben.
Weiß jemand was Neues?
Update:
Hab grad bei Win11 getestet. Auch dort können nach dem Mai Update keine effektiven Rechte mehr angezeigt werden. Windows 10 hingegen funktioniert. Kann das jemand nachstellen?
Microsoft hat den Bug zum 21. Juni 2023 bestätigt, siehe meinen Blog-Beitrag Windows 11/Server 2022: Effective Access-Problem im Explorer bestätigt.
Ich habe einen Windows Server 2022 21H2 Build 20348-1607. Hier wird immer der update KB5026370 angeboten. Dieser Fix ist allerdings nur für den Build 20348-1726.
Der update endet immer mit 00000009 (F) STATUS_SXS_ASSEMBLY_MISSING
Fehler 0x80073701. Die Frage ist warum bietet WSUS diesen update für die falsche Windos Server Version an ?