KB5034441 – Sicherheitslücke in WinRE bringt Microsoft und User zum Verzweifeln – Teil 2

PC-Pannenhilfe - IT Security

Nachdem der gestrige Beitrag gepostet wurde, habe ich sofort Hilferufe empfangen, die sich zunächst auf die angesprochenen selbst gelöschten Wiederherstellungspartionen bezogen und andererseits um direkte Hilferufe, weil diejenigen vergessen haben WinRE zu deaktivieren.

Resultierend daraus ergibt sich, dass man nun WinRE nicht mehr aktivieren kann, weil der WinRE-Ort leer bleibt.

Nun, was ist daran so schlimm? Man kann damit das System nicht mehr auf Werkszustand zurücksetzen und das Update KB5034441 bricht noch immer ab.

Natürlich können wir helfen!

Als erstes benötigen wir das original Windows 10 Image. Das bekommen wir durch das Windows Media Tool. Nach dem Ausführen werden wir gefragt, ob wir ein Upgrade ausführen oder ein Installationsmedium erstellen möchten.

Genau dieses benötigen wir. Als nächstes wähle die empfohlenen Optionen für diesen PC und speichere die ISO-Datei.

Nachdem diese geladen ist, muss diese mit einem Rechtsklick bereitgestellt werden. Bitte schau auf welchem Laufwerk nun das Image geöffnet wurde. In diesem Beispiel ist es Laufwerk E.

Öffne die Eingabeaufforderung (CMD) als Administrator

reagentc /info

Wenn nun WinRE auf Disable steht und der WinRE-Ort leer ist dann fahre fort.

dism /Get-WimInfo /WimFile:e:\sources\install.esd

In der folgenden Liste such deine passende Windowsversion heraus und merke dir die Indexnummer. In unserem Beispiel ist es Windows Pro mit der 5. Schnell zwei Verzeichnisse erstellen.

md c:\RERepair

md c:\RECD

Im nächsten Schritt muss der Index mit deiner Nummer aus der Liste beziffert werden. Wir hatten die 5.

dism /Export-Image /SourceImageFile:e:\sources\install.esd /SourceIndex:5 /DestinationImageFile:c:\RERepair\install.wim /Compress:max /CheckIntegrity

Nun haben wir die install.wim aus der install.esd vom Windows-Image extrahiert. im nächsten Schritt bleibt der Index bei 1.

dism /mount-image /imagefile:”c:\RERepair\install.wim” /index:1 /mountdir:c:\RECD\ /readonly

Jetzt wurde der Inhalt der install.wim virtuell ins Verzeichnis RECD geladen. Um die eigentlich wichtige Datei winre.wim nun auf die versteckte und erweiterte Windows RE tools-Partition zu kopieren, muss diese zuerst sichtbar gemacht werden. Diese Befehle kennt ihr schon aus Teil 1.

diskpart

list disk

select disk 0

list partition oder list part

Da sehen wir wieder die, in unserem Beispiel, neu angelegte WinRE Partition 5.

select part 5

Jetzt verpassen wir dieser einen temporären Laufwerksbuchstaben. Temporär bedeutet in diesem Fall, nach dem Neustart ist dieser wieder verschwunden.

assign letter=v:

beenden mit exit

md v:\Recovery

md v:\Recovery\WindowsRE

Nach der Erstellung dieser Verzeichnisse muss noch die winre.wim kopiert werden.

xcopy /h c:\RECD\Windows\System32\Recovery\winre.wim V:\Recovery\WindowsRE

Nun weisen wir Windows noch den neuen WinRE-Ort zu.

reagentc /setreimage /path v:\Recovery\WindowsRE

Aktivieren WinRE mit reagentc /enable

Das sollte nun geklappt haben und wir können dies überprüfen mit reagentc /info

Und nun ist das Zurücksetzen des PCs auch wieder aktiv und das Update kann fehlerlos erfolgen.

Noch ein paar Schritte sind zu tun.

Rechtsklick auf Laufwerk E oder welches Laufwerk bei Euch das Windows-Image auch immer hat und auswerfen

Arbeitsplatz oder Windows Explorer schließen

dism /unmount-image /mountdir:c:\RECD\ /discard

Bei irgendwelchen Fehlern beim Unmounten, Arbeitsplatz oder Windows Explorer schließen.

Verzeichnis RECD und RERepair auf dem Laufwerk C löschen.

fertig!

Veröffentlicht unter Tipps & Tricks | Verschlagwortet mit , , , , , , , | Schreib einen Kommentar

KB5034441 – Sicherheitslücke in WinRE bringt Microsoft und User zum Verzweifeln – Teil 1

PC-Pannenhilfe - IT Security

Mit diesem Update soll ein gravierendes Sicherheitsproblem behoben werden, das Angreifern ermöglicht, die BitLocker-Verschlüsselung anderer Partitionen zu umgehen, indem sie eine Sicherheitslücke in WinRE ausnutzen.

Leider bricht diese Aktualisierung auf einigen Windows 10 Geräten seit ein paar Wochen immer wieder ab und liefert anschließend den Fehlercode 0x80070643 – ERROR_INSTALL_FAILURE.

Der Fehler tritt auf, weil dieses Update 250 MB freien Speicherplatz in der Wiederherstellungspartition erfordert, um erfolgreich installiert zu werden. Die bei der Installation von Windows 10 standardmäßig erstellte Wiederherstellungspartition verfügt über 450 MB, welche mit 400 MB Wiederherstellungsinformationen gefüllt ist. Bei Windows 8/8.1 waren es 200 MB und bei Windows 7 nur 100 MB. Wer folglich kostenlos auf Windows 10 upgegradet hat, besitzt in jedem Fall zu wenig Speicherplatz für KB5034441.

Dazu kommen noch die User, die laut einigen klugen Internet-Anleitungen ihre Wiederherstellungspartitionen gänzlich gelöscht haben. Wozu braucht man die denn auch?

Viel Arbeit für Microsoft. Wenig Arbeit für uns!

Öffne die Eingabeaufforderung (CMD) als Administrator

Nun gib reagentc /info ein um zu überprüfen ob und wo WinRE installiert ist. Sollte WinRE disabled sein, dann kann die restliche Anleitung ignoriert werden. Die Lösung dieses Problems ist dann nicht dem fehlenden Speicherplatz geschuldet.

In der Ausgabe sehen wir nun den Windows RE Speicherort zb. hardddisk0/partition5.

Deaktiviere nun WinRE mit reagentc /disable (Nicht vergessen! Sonst ist später das WinRe Image gelöscht!)

Jetzt werden wir den Speicherplatz von C um 250 MB verkleinern und die Wiederherstellungspartition korrekt anpassen.

Los geht es mit diskpart

Als nächstes wollen wir uns die installierten Laufwerke anzeigen lassen mit list disk

Dabei erkennen wir auch nun ob es sich um einen GPT oder MBR Datenträger handelt. Ist ein Sternchen unter GPT zu sehen, dann ist es GPT, anderenfalls habt ihr einen MBR Datenträger. Merken! Das brauchen wir später.

Wähle jetzt das Laufwerk was im Windows RE Speicherort angezeigt wurde. In unserem Beispiel ist das harddisk0.

select disk 0

Die Partitionen werden angezeigt mit list partition oder list part

Auf dem Bild ist eine 1000 MB große Partition als Partition5 zu sehen. Dort sieht man vor der Änderung die 450 MB. In unserem Beispiel ist es Windows 11, da sollte alles passen.

Wir suchen die Betriebssystempartition, die wir verkleinern wollen – in diesem Fall ist es die erste primäre.

select part 3

shrink desired=250 minimum=250

Jetzt haben wir uns 250 MB abgezwackt. Leider können wir die WinRE Partition nicht einfach erweitern, sondern müssen sie löschen und neu erstellen.

also select part 5

Mit delete partition override ist der Wiederherstellungsdatenträger gelöscht.

Neuerstellt wird je nach Datenträger:

GPT – create partition primary id=de94bba4-06d1-4d40-a16a-bfd50179d6ac und gpt attributes=0x8000000000000001

MBR – create partition primary id=27

Nun wird die Partition formatiert. format quick fs=ntfs label=”Windows RE tools”

Überprüfe mit list vol dass die WinRE Partition erstellt wurde und ob diese nun im Gegensatz zu vorher 250 MB größer ist.

Beende Diskpart mit exit

Aktiviere nun WinRE wieder mit reagentc /enable und überprüfe den Status mit

reagentc /info

Jetzt sollte WinRE wieder enabled sein und das Update KB5034441 macht keine Probleme mehr.

War doch ganz einfach, oder?

Veröffentlicht unter Tipps & Tricks | Verschlagwortet mit , , , , , , , | Schreib einen Kommentar

Unter dem Regenschirm – Avira Prime blockt Windows 10 und Windows 11

Cyber-Security - PC-Pannenhilfe

Irgendwie kommt uns das Problem bekannt vor – ganz wie ein Zeitsprung in das Jahr 2018 zurück. Damals blockierten alle Avira-Varianten die Windows-Systeme, aber zumindest konnte man diverse Funktionen noch deaktivieren. Dieses Mal betrifft es, so scheint es zumindest, die bezahlten Versionen von Avira, also Avira Prime und nichts dergleichen hilft.

Sofort nach dem sich unsere Kunden vermehrt am vergangenen Wochenende gemeldet haben und wir nur an einem Tag erschreckend viele Fälle beobachten konnten, an denen Windows 10 und Windows 11 PCs blockiert wurden, haben wir dies als ernstzunehmendes Problem deklariert.

Durch irgendeinen Prozess, stellt sich das Avira-System sofort nach Laden gegen seine Schützlinge und hindert alles was es beschützen sollte am ausführen. Sowohl explorer.exe, als auch taskman.exe, es geht innerhalb 10 Sekunden bis 2 Minuten nach der Eingabe des Pins oder des Windows-Passwortes nichts mehr.

Der Mauszeiger bewegt sich munter, aber ansonsten funktioniert nicht einmal mehr das herunterfahren oder Neustarten des Rechners. Damals half nur ein Update des Avira-Programms. Leider hat man selbst zu einem Update nun keine Zeit mehr.

Wenn man schnell ist, schafft man es noch msconfig zu öffnen und kann alle Avira-Dienste deaktivieren und neu starten. Leider aktivieren sich sofort die Endpoint Protection Dienste wieder alleine, weil sie einem erweiterten Prozessschutz unterliegen, den wir aber zeitlich gesehen nicht rechtzeitig deaktivieren können. Somit sind wir in der Avira-Falle gefangen und sehen wie es einem Virus ergeht, der den Dienst deaktivieren will.

Nun könnten wir im abgesicherten Modus starten und dort die Dienste deaktivieren. Dafür müssen wir aber zusätzlich beim Start noch den “Schutz des Antischadsoftware-Frühstarts deaktivieren”. Das kriegen wir hin, indem wir im Anmeldebildschirm die Umschalttaste gedrückt halten und Neu starten klicken. Dann gelangen wir in ein erweitertes Options-Menü.

Über das nun erscheinende Menü kann man zunächst den “Schutz des Antischadsoftware-Frühstarts deaktivieren” und gelangt über das gleiche Menü in den abgesicherten Modus, wo nun Avira deinstalliert werden kann.

Die Deinstallation muss mehrfach durchgeführt werden, da sich Avira dagegen wehrt. Am besten löscht man anschließend den überflüssigen Ballast zusätzlich mit dem Avira Registry Cleaner.

Nach einem Neustart wird das System wieder laufen.

Bei Windows 11 ist dies etwas komplexer, weil man für den Options-Start den Wiederherstellungsschlüssel des Systemlaufwerkes benötigt, welches vom Bitlocker verschlüsselt wurde.

Hat man diesen nicht zur Hand, sollte man schnellst möglich zum Hörer greifen und uns kontaktieren.

Habt eine schöne Restwoche!

Veröffentlicht unter Ratgeber | Verschlagwortet mit , , , , , , , , , , , , , | Schreib einen Kommentar