Sicherheitsupdates vom Januar 2022 mit massiven Kollateralschäden in Windows

Jüngste Sicherheitsupdates für Windows sorgen für Ärger: Unter anderem werden Domain Controller in Boot-Schleifen gezwungen und Hyper-V startet nicht mehr.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 394 Beiträge

(Bild: Primakov/Shutterstock.com)

Von
  • Günter Born

Microsoft hat zum 11. Januar 2022 für alle unterstützten Windows-Versionen Sicherheitsupdates freigegeben, die diverse Schwachstellen und Bugs beseitigen sollen. Unter anderem gibt Microsoft an, ein Windows Server-Problem behoben zu haben, bei dem Active Directory-Attribute während eines LDAP-Änderungsvorgangs (Lightweight Directory Access Protocol) mit mehreren spezifischen Attributänderungen nicht korrekt geschrieben werden. Allerdings sorgt das Update auch für erhebliche Probleme.

Bei uns meldeten sich bereits in der Nacht zum 12. Januar 2022 Administratoren, die auf Schwierigkeiten bei Domain Controllern unter Windows Server 2012 R2 in Verbindung mit dem Update KB5009624 (Monthly Rollup for Windows 8.1 and Windows Server 2012 R2) und Update KB5009595 (Security Only Quality Update for Windows 8.1 and Windows Server 2012 R2) hinwiesen.

Der Prozess lsass.exe (oder wininit.exe) löst bei betroffenen Maschinen einen zyklischen Neustart des betreffenden Windows-Servers aus, weil ein Zugriffskonflikt den Fehler 0xc0000005 erzeugt. Das Intervall, in dem diese Neustarts erzwungen werden, kann bis zu 15 Minuten betragen. War zuerst nur von Windows Server 2012 R2 in Verbindung mit Domain Controllern die Rede, liegen inzwischen auch Meldungen vor, dass Domain Controller (DC) unter Windows Server 2016, 2019 und 2022 betroffen seien. Das Problem tritt nicht in allen Szenarien auf, die genauen Bedingungen, die das Problem triggern, sind bisher unbekannt.

Betroffene Administratoren haben aktuell nur die Möglichkeit, die jeweiligen Updates vom 11. Januar 2022 zu deinstallieren. Dies kann in einer administrativen Eingabeaufforderung mit diesen Befehlen erfolgen:

wusa /uninstall /kb:5009595 /quiet
wusa /uninstall /kb:5009624 /quiet

Dabei sind die betreffenden KB-Nummern für die jeweilige Server-Version in obigem Befehlen einzusetzen. Administratoren raten in den Kommentaren im Blog des Autors (sowie auf reddit.com) davon ab, Snapshots zurückzurollen, um keine USN-Rollbacks zu provozieren. Falls die Neustarts zu schnell erfolgen, hilft gegebenenfalls, die Netzwerkverbindung des Domain Controllers zu kappen. Dann soll genügend Zeit zur Deinstallation der Updates bleiben, meldeten Betroffene.

Ein Windows Server 2019 Domain Controller kann nach Deinstallation des Updates etwa 20 Minuten nach dem Neustart bei 100 Prozent in der Fortschrittsanzeige stehen bleiben. Hier heißt es Geduld haben, bis die Deinstallation abgeschlossen ist.

Eine unangenehme Überraschung erleben Administratoren nach Installation des Update KB5009624 für Windows Server 2012 R2, wenn Datenträger im ReFS-Dateisystem formatiert sind. Im Blog des Autors hat sich ein Administrator gemeldet, der angibt, dass nach der Installation des Updates "alle ReFs Datenträger im RAW Format" vorliegen. Die Deinstallation dieses Updates holt die Unterstützung für ReFS wieder zurück. Weitere Administratoren bestätigen diese Beobachtung.

Das Sicherheitsupdate KB5009624 für Windows Server 2012 R2 bewirkt bei vielen Systemen, dass die Hyper-V Hosts nicht mehr starten können. Ähnliches trifft auch für Update KB5009586 für Windows Server 2012 zu. Der Hyper-V Host löst beim Start folgenden Fehler aus: "Fehler beim Initialisieren: Der virtuelle Computer konnte nicht gestartet werden, da der Hypervisior nicht ausgeführt wird." Die Deinstallation der betreffenden Updates löst dieses Problem, wie Betroffene bestätigen.

Die Updates KB5009566 für Windows 11 und KB5009543 für Windows 10 20H2 – 21H2 verhindern die VPN-Verbindungsaufnahme mit L2TP over IPSEC über die betreffenden Windows-Clients, berichteten Betroffene. Beim Versuch einer Verbindungsaufnahme kommt der Fehler "The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer".

Das Problem wird inzwischen auch auf reddit.com sowie im Techcommunity-Post Windows 11 Update (KB5009566) inhibits VPN connection bestätigt. Der Fehler hat zur Folge, dass beispielsweise VPN-Verbindungen zu Cisco Meraki MX-Appliances, Ubiquiti oder Meraki MX scheitern. Auch die Gateways von Mikrotik und Fortigate sowie SonicWall-Instanzen können nicht mehr erreicht werden. Bisher hilft in allen Fällen nur die Deinstallation der oben genannten Sicherheitsupdates vom 11. Januar 2022.

(axk)