Microsoft 发布了一个 PowerShell 脚本来自动更新 Windows 恢复环境 (WinRE) 分区,以修复 CVE-2024-20666,这是一个允许 BitLocker 加密绕过的漏洞。
此安全问题已在本周早些时候发布的本月补丁星期二期间发布的 KB5034441 安全更新中得到解决。
PowerShell 脚本解决了导致 Windows 10 系统上的 KB5034441 安装失败的已知问题,该问题使设备容易受到允许访问加密数据的 BitLocker 加密绕过缺陷的影响。
尝试部署安全更新时,用户报告 看到0x80070643 错误,并表示:“安装更新时出现一些问题,但我们稍后会重试。如果您继续看到此情况并想要搜索网络或联系支持人员以获取信息,请执行以下操作:可能有帮助:(0x80070643)。”
正如 Microsoft所解释的,发生这种情况是因为当 WinRE 分区不够大时,Windows Update 不会显示 CBS_E_INSUFFICIENT_DISK_SPACE 错误,而是错误地显示通用“0x80070643 - ERROR_INSTALL_FAILURE”错误消息。
发生这种情况是因为安装 KB5034441 安全更新时部署的 WinRE 映像文件 (winre.wim) 对于恢复分区来说太大。
为了解决这个问题,微软建议用户创建一个更大的WinRE分区,以便有足够的空间来安装KB5034441。
自动化 BitLocker 加密绕过修补虽然您可以使用详细且相当复杂的指令手动执行此操作,但该公司现在还提供了专用的 PowerShell 脚本来帮助您自动更新 WinRE 分区(无需先调整其大小)并修补 CVE-2024-20666 BitLocker 漏洞。
PatchWinREScript_2004plus.ps1脚本:
https://support.microsoft.com/en-us/topic/kb5034957-updating-the-winre-partition-on-deployed-devices-to-address-security-vulnerabilities-in-cve-2024-20666-0190331b-1ca3-42d8-8a55-7fc406910c10
微软表示:“示例 PowerShell 脚本是由微软产品团队开发的,旨在帮助在受支持的 Windows 10 和 Windows 11 设备上自动更新 WinRE 映像。 ”
“在受影响的设备上使用 PowerShell 中的管理员凭据运行脚本。有两个可用脚本 - 您应该使用哪个脚本取决于您运行的 Windows 版本。”
在系统上运行脚本时,它会装载 WinRE 映像,应用必须在运行脚本之前从Windows 更新目录下载的特定于体系结构的安全操作系统动态更新,卸载映像,然后为 BitLocker 服务重新配置 WinRE(如果存在 BitLocker TPM 保护器。
脚本下载:https://www.catalog.update.microsoft.com/Search.aspx?q=Safe OS
根据 BleepingComputer 的测试,您可能还需要在运行脚本后使用微软的显示或隐藏工具来隐藏 KB5034441 更新,这样 Windows Update 就不会继续尝试安装有问题的更新并显示错误。
补丁管理公司 Action1还发布了脚本,如果您愿意的话,可以自动调整 Windows 恢复环境 (WinRE) 分区的大小。
如果您选择手动调整 WinRE 分区大小或使用 Action1 的脚本,强烈建议您备份数据,因为调整时系统分区始终存在损坏的风险。