微軟 Microsoft 甫於 10月 21 日發布了一次少見的頻外 (Out-of-Band, OOB) 緊急更新,代號為 KB5070773。
此更新並非本月的例行 Patch Tuesday,而是針對一個具體且嚴重的問題:修復最新 Windows 11 版本 (25H2 與 24H2) 上的 Windows 恢復環境 (WinRE) 故障。
從系統維運和資安的角度來看,這不僅僅是一個「修復錯誤」的更新,它關係到企業的營運連續性 (Business Continuity) 與系統的災難復原 (Disaster Recovery) 能力。
更新後的 Windows 11 版本號碼會是 26200.6901。
為何這次的 WinRE 故障受到關注?
Windows 恢復環境 (WinRE) 是 Windows 的「最後一道防線」。當系統無法正常啟動、開機磁區 (Bootloader) 損壞,或是在重大更新(如功能更新或特定安全更新檔)失敗後,WinRE 是負責執行自動修復、系統還原、或允許管理員進入安全模式,以及命令提示字元進行手動救援的關鍵組件。
目前在 IT 資訊管理圈,近期傳出在 Windows 11 24H2 與 25H2 版本上的某些系統,WinRE 處於損壞或無法存取的狀態。
對系統管理者的衝擊
營運中斷風險劇增: 如果一台終端設備(特別是遠端工作者的筆電)因為某個驅動程式或未來更新而導致開機失敗,一個損壞的 WinRE 意謂著系統無法自我修復。
對於 IT 部門而言,遠端修復本來就難,在最壞的情況下,這需要 IT 人員進行「Truck Roll」(派遣人員到場)或要求使用者將設備寄回,進行手動的系統重灌 (Re-imaging),導致嚴重的生產力損失。
另一方面,許多複雜的安全性更新(特別是涉及 BitLocker 或安全啟動 (Secure Boot) 的更新)會依賴 WinRE 作為更新失敗時的安全回滾 (Rollback) 機制。如果 WinRE 失效,部署這些關鍵更新檔的風險將會提高。
WinRE 不單單只是修復工具
從資安角度來看,WinRE 的健全性很重要,首先是勒索軟體與惡意破壞,部分現代勒索軟體或 Wiper(資料清除)惡意軟體,會嘗試破壞系統的啟動程序以造成最大傷害。一個健康的 WinRE 是抵禦這類攻擊後,嘗試恢復系統(或至少進入安全環境取回資料)的一個步驟,如果 WinRE 也壞掉就沒辦法復原,得用其他方式。
再來就是 BitLocker 救援,儘管之前也有傳出用戶不小心被 BitLocker 鎖住,3TB資料硬碟都不能用的事件,但是當 BitLocker 偵測到系統啟動環境被竄改(例如 TPM 檢測失敗)時,會觸發救援模式。這個救援介面通常就是由 WinRE 提供的。如果 WinRE 故障,管理員可能無法在本地輸入 BitLocker 救援金鑰,導致加密磁碟區被「鎖死」,增加資料永久遺失的風險。
部署 KB5070773
CyberQ 建議,各 IT 部門盤點受影響的資產,確認企業環境中,有多少設備已經部署或正在測試 Windows 11 24H2 及 25H2 ,並立即處理這次的 OOB 更新,但正因為是 OOB 更新,它可能不會立即出現在你常規的 WSUS 或 MECM (SCCM) 部署排程中。
Windows Update for Business (WUfB) / Intune: 應會優先推送此更新。
WSUS / MECM: 需要檢查 Microsoft Update Catalog,可能需要手動匯入此 KB 並建立緊急部署規則。
手動安裝: 對於關鍵伺服器或 VIP 用戶,可考慮手動從 Windows Update 檢查更新(它可能會顯示為可選更新)或到這邊 Update Catalog 下載 .msu 檔案進行安裝。
部署後驗證: 在推送更新後,建議對設備進行驗證,可以透過 reagentc /info 指令來檢查 WinRE 的狀態是否顯示為 “Enabled” 且路徑正確。
KB5070773 是一個高優先級的維運更新,它解決的問題雖然不會像 RCE 漏洞那樣立即導致資料外洩,但它嚴重威脅到 Windows 系統的「韌性」(Resilience),應規劃盡速部署。
首圖與文章配圖由 Google Gemini,以及 ComfyUi 搭配本地端 AI 模型生成
