Microsoft hat die Signierung von Windows-Updates auf SHA-2 umgestellt. Das verursacht bei Windows 7 SP1 und Windows Server 2008 R2 Probleme.

Microsoft hat die duale Signierung von hauseigenen Updates mit SHA-1 und SHA-2 eingestellt und signiert ab sofort nur noch mit dem Hash-Algorithmus SHA-2. Während ab Windows 8.1 die Unterstützung von nur per SHA-2 signierten Updates im Betriebssystem enthalten ist, muss man Windows 7 SP1 und Windows Server 2008 sowie Windows Server 2008 R2 durch Patches nachrüsten.

Microsoft hat im Support-Beitrag 4472027 einen Fahrplan sowie die benötigten Updates (KB4474419 and KB4490628) veröffentlicht. Für Windows 7 SP1 und Windows Server 2008 R2 ist die SHA-2-Signaturunterstützung seit 13. August 2019 Pflicht. Das führte jüngst zu einigen Problemen, wie verschiedene Anwender am vergangenen Patchday feststellen mussten. Der Schritt zu SHA-2 war seit Ende 2018 angekündigt.

Windows-Anwender, die Symantec Endpoint Protection (14.2 RU1, RU1 MP1) und oder Antivirus-Lösungen von Norton (Norton Antivirus, Norton Internet Security) installiert haben, bekommen unter Windows 7 SP1 und Windows Server 2008 R2 seit dem Stichtag einige Windows-Sicherheitsupdates nicht angeboten. Das betrifft aktuell die Patches KB4512486 (Security Only) und KB4512506 (Monthly Rollup). Microsoft weist in den KB-Artikeln darauf hin, dass die Updates wegen Schwierigkeiten mit den Antivirus-Produkten für die betroffenen Systeme temporär ausgesetzt sind, bis die Antivirus-Hersteller eine Lösung bereitstellen.

Hintergrund ist wohl, dass die AV-Lösungen von Norton und Symantec Update-Pakete, die nur mit SHA-2 signiert sind, als manipuliert ansehen und verwerfen. Durch die temporäre Update-Blockade will Microsoft verhindern, dass betroffene Geräte diese Windows-Update erhalten, bevor es einen Fix der AV-Hersteller gibt. Von einer manuellen Installation dieser Updates rät Microsoft ebenfalls ab, da es zu Installationsfehlern samt Folgeproblemen kommen könnte.

Symantec hat den Beitrag Windows 7/Windows 2008 R2 updates that are only SHA-2 signed are not available with Symantec Endpoint Protection installed zu diesem Sachverhalt veröffentlicht. Bisher ist jedoch noch keine Lösung von Symantec oder Norton in Sicht. Betroffenen Anwendern bleibt nur abzuwarten, bis die AV-Hersteller das Problem beheben. Oder sie deinstallieren die AV-Produkte vor einer Windows-Update-Installation.

Außerdem kursieren Meldungen, dass die Installationen der Patches KB4512506 und KB4512486 für Windows 7 SP1 und Windows Server 2008 R2 mit dem Fehlercode 0x80092004 fehlschlägt. Hintergrund ist mutmaßlich, dass der Windows-Update-Client einen kryptografischen Wert nicht finden konnte und die Patches ablehnen.

Das legt im Zusammenhang mit der Hash-Umstellung nahe, dass ein Update zum Nachrüsten des SHA-2-Supports fehlt. Neben dem Update KB4474419 muss auch das Servicing Stack Update (SSU) KB4490628 zwingend installiert sein. Dieses korrigiert ein Problem im Servicing Stack, welches bei Paketen auftritt, die nur noch mit SHA-2 signiert sind.

Microsoft Support-Beitrag 4472027