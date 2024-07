Microsoft odhalil zranitelnost, která umožňovala prolomit šifrování Bitlocker

Aktualizace KB5034441, která problém opravuje, ale končí často chybou 0x80070643

Je to způsobeno nedostatkem místa v oblasti pro obnovení

Microsoft vydal v lednu 2024 aktualizaci označenou KB5034441. Jedná se o opravu chyby, která umožňuje útočníkům obejít šifrování Bitlocker, je to tedy závažný problém, který je třeba opravit. Chyba se týká následujících systémů: Windows 11 verze 21H2, Windows 10 verze 22H2, Windows 10 verze 21H2 a Windows Server 2022. Bohužel při instalaci aktualizace se uživatelé setkávali s chybou 0x80070643 a instalace se nedokončila.

Pokud se uživatel rozhodl aktualizaci vynechat, problém pouze odložil. Protože se jedná o kritickou opravu, stahuje se při každé aktualizaci systému a při každé aktualizaci pak skončí chybou. Microsoft po analýze označil jako viníka nedostatek místa v oblasti pro obnovení. Proces aktualizace vyžaduje 250 MB volného místa, a protože se oddíl pro obnovení nedá jen tak promazat, doporučuje Microsoft jeho zvětšení. Potom už by aktualizace měla proběhnout bez problémů.

Co opravuje aktualizace KB5034441

Aktualizace opravuje zranitelnost označenou jako CVE-2024-20666. Úspěšný útočník by mohl obejít funkci BitLocker Device Encryption na systémovém úložném zařízení. Útočník s fyzickým přístupem k cíli by mohl tuto chybu zabezpečení zneužít k získání přístupu k šifrovaným datům.

Jak vyřešit chybu 0x80070643

Původně Microsoft sliboval, že vydá opravu opravy, ale po několika měsících nakonec rezignoval a nechal uživatele, ať si poradí sami. Vydal ale návod, jak postupovat krok za krokem, takže by to měli zvládnout i technicky nepříliš zaměření uživatelé. Oprava spočívá ve zvětšení oddílu pro obnovení, aby na něm byl dostatek volného místa.

Oficiálně doporučený postup

Microsoft zveřejnil návod, jak změnit velikost oddílu pro obnovení:

Nejprve spusťte PowerShell jako správce:

PS> reagentc /info ... Windows RE status: Enabled Windows RE location: \\?\GLOBALROOT\device\ harddisk0 \ partition4 \Recovery\WindowsRE

Status Windows RE by měl být Enabled. Poznamenejte si hodnoty harddisk a partition . Nyní zadejte příkaz pro zakázání Windows RE:

PS> reagentc /disable

Zmenšete oddíl operačního systému a připravte disk na nový oddíl pro obnovení. Spusťte příkaz DISKPART:

PS> diskpart

Příkazem list disk můžete vypsat všechny disky. Použijte příkaz sel disk pro výběr disku, jako číslo disku zadejte číslo poznamenané v předchozím kroku.

Výsledkem bude systémový disk zmenšený o 250 MB. Dále zadáte příkaz:

sel part 3 delete partition override

Tím smažete existující oblast pro obnovení. Vzápětí vytvoříte novou. Pokud je váš disk typu GPT (ve sloupci GPT je znak *), použijete tento příkaz:

create partition primary id=de94bba4-06d1-4d40-a16a-bfd50179d6ac gpt attributes =0x8000000000000001

Pokud je disk typu MBR, bude příkaz následující:

create partition primary id=27

Novou oblast je třeba zformátovat:

format quick fs=ntfs label=”Windows RE tools”

Pokud je váš disk typu MBR, zadejte ještě tento příkaz:

set id=27

Pro kontrolu provedení změn můžete zadat:

list vol

Následně program DISKPART ukončíte:

exit

Nyní znovu povolíte Windows RE:

reagentc /enable

a ověříte, že je vše, jak má být:

reagentc /info

Poznámka: pokud postup selže nebo se rozhodnete sami ho přerušit, nezapomeňte znovu povolit Windows RE příkazem reagentc /enable.

Skript přímo od Microsoftu

Microsoft nachystal skript pro PowerShell, který celý proces provede automaticky. Najdete ho zde, ale pro všechny případy si vytvořte před jeho spuštěním zálohu!

Alternativní postup

Na TechCommunity se objevil alternativní postup, který nevyžaduje změnu velikosti oddílů.

Upozornění Níže uvedený postup není oficiálně doporučený Microsoftem a nezkoušeli jsme ho, použití je na vaši odpovědnost. Nezapomeňte zálohovat důležitá data!

Spusťte PowerShell jako správce a zadejte následující příkaz:

PS> reagentc /info ... Windows RE status: Enabled Windows RE location: \\?\GLOBALROOT\device\ harddisk0 \ partition4 \Recovery\WindowsRE

Status Windows RE by měl být Enabled. Poznamenejte si hodnoty harddisk a partition . Nyní zadejte příkaz pro zakázání Windows RE:

PS> reagentc /disable

Teď by se měl image Windows RE přesunout z \Recovery\WindowsRE do C:\Windows\System32\Recovery. POZOR, toto je potenciálně kritická část postupu. Ověřte, že se soubor opravdu přesunul. Pokud ne, povolte znovu Windows RE příkazem reagentc /enable a dále nepokračujte! Existenci přesunutého souboru ověřte příkazem dir s parametrem -Force:

PS> dir C:\Windows\System32\Recovery -Force Directory: C:\Windows\System32\Recovery Mode LastWriteTime Length Name ---- ------------- ------ ---- -a--- 2/4/2024 3:37 AM 1139 ReAgent.xml ---hs- 8/6/2021 8:26 PM 440718104 Winre.wim

Nyní použijte příkaz diskpart pro změnu typu obnovovacího oddílu. Použijte hodnoty poznačené v předchozím kroku:

PS> diskpart DISKPART> select disk 0 Disk 0 is now the selected disk. DISKPART> select partition 4 Partition 4 is now the selected partition.

POZOR! Ověřte, že jste nastavili správný oddíl. Vybraný oddíl je označený hvězdičkou a měl by být typu Recovery.

DISKPART> list partition Partition ### Type Size Offset ------------- ---------------- ------- ------- Partition 1 System 260 MB 1024 KB Partition 2 Reserved 16 MB 261 MB Partition 3 Primary 237 GB 277 MB * Partition 4 Recovery 860 MB 237 GB

Zobrazte detaily pro kontrolu:

DISKPART> detail partition Partition 4 Type : de94bba4-06d1-4d40-a16a-bfd50179d6ac Hidden : Yes Required: Yes Attrib : 0X8000000000000001 Offset in Bytes: 255158386688 Volume ### Ltr Label Fs Type Size Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 2 Windows RE NTFS Partition 860 MB Healthy Hidden

Pokud je u parametru Type hodnota 27, jedná se o disk typu MBR a nastavíte hodnotu 7:

DISKPART> set id=7 override

Pokud je hodnota de94bba4-06d1-4d40-a16a-bfd50179d6ac, jedná se o oddíl typu GPT. Nastavte hodnotu ebd0a0a2-b9e5-4433-87c0-68b6b72699c7:

DISKPART> set id=ebd0a0a2-b9e5-4433-87c0-68b6b72699c7 override

Ověřte, že se změny zapsaly:

DISKPART> list partition Partition ### Type Size Offset ------------- ---------------- ------- ------- Partition 1 System 260 MB 1024 KB Partition 2 Reserved 16 MB 261 MB Partition 3 Primary 237 GB 277 MB * Partition 4 Primary 860 MB 237 GB

Ukončete DISKPART:

DISKPART> exit

Pokud při opětovném povolení prostředí Windows RE není k dispozici platný oddíl pro obnovení, použije reagentc jako umístění bitové kopie pro obnovení složku C:\Recovery\WindowsRE. Pokud adresář WindowsRE již v C:\Recovery existuje, přejmenujte jej:

PS> dir C:\Recovery -Force Directory: C:\Recovery Mode LastWriteTime Length Name ---- ------------- ------ ---- d---- 12/2/2020 8:57 PM WindowsRE d---- 3/20/2022 3:10 AM OEM -a--- 1/12/2021 4:35 AM 1139 ReAgentOld.xml PS> ren C:\Recovery\WindowsRE WindowsRE.old -Force

Znovu povolte prostředí Windows RE a potvrďte, že se umístění změnilo. Zde se změnil z partition4 na partition3, což je v tomto případě oddíl OS (C:\).

PS> reagentc /enable PS> reagentc /info Windows RE status: Enabled Windows RE location: \\?\GLOBALROOT\device\harddisk0\partition3\Recovery\WindowsRE

V tomto okamžiku se pokuste použít službu Windows Update. Bez ohledu na úspěch nebo neúspěch proveďte níže uvedené kroky a vraťte výše provedené změny zpět.

PS> reagentc /disable PS> diskpart DISKPART> select disk 0 DISKPART> select partition 4 DISKPART> list partition Partition ### Type Size Offset ------------- ---------------- ------- ------- Partition 1 System 260 MB 1024 KB Partition 2 Reserved 16 MB 261 MB Partition 3 Primary 237 GB 277 MB * Partition 4 Primary 860 MB 237 GB For GPT partition DISKPART> set id= de94bba4-06d1-4d40-a16a-bfd50179d6ac override For MBR Partition DISKPART> set id=27 override DISKPART> list partition Partition ### Type Size Offset ------------- ---------------- ------- ------- Partition 1 System 260 MB 1024 KB Partition 2 Reserved 16 MB 261 MB Partition 3 Primary 237 GB 277 MB * Partition 4 Recovery 860 MB 237 GB DISKPART> exit PS> reagentc /enable ... Windows RE status: Enabled Windows RE location: \\?\GLOBALROOT\device\ harddisk0 \ partition4 \Recovery\WindowsRE

Setkali jste se s chybou 0X80070643 u aktualizace KB5034441?

Zdroj: Microsoft