Windows Server 2008 R2安装CVE-2023-35359相关补丁问题及自动进入修复模式无法启动的问题处理

 近日微软发布了Windows紧急高危漏洞“Windows权限提升漏洞”，漏洞编号为：CVE-2023-35359，在Windows Server 2008 R2安装过程中出现系列问题，并出现了自动进入修复模式无法启动的问题，本文记录了相关处理过程。

一、Windows权限提升漏洞CVE-2023-35359介绍

Windows 内核特权提升漏洞

CVE-2023-35359安全漏洞

发行版： 2023年8月8日 最后更新：2023年8月24日

Assigning CNA:

Microsoft

CVE-2023-35359

影响: 特权提升

最高严重性: 重要

1.影响版本

Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems

2.处置建议

1）微软官方已经发布补丁修复了上述漏洞，尽快更新系统补丁。
参考链接：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35359

二、Windows Server 2008 R2安装KB5029307过程及问题处理

1、安装补丁（实际上是坑，装了以后会重启启不来的，详见后文）2023-08 适用于基于 x64 的系统的 Windows Server 2008 R2 仅安全性质量更新（KB5029307）

 2、如上提示需更新windows模块安装程序，先打一个前置补丁KB5028264

3、安装KB5028254后再安装KB5029307 

4、此时显示可以正常安装 

5、安装完成提示重启 

6、系统重启， 重启后进入系统恢复选项，不能正常启动，：-（

 7、在系统恢复选项中输入管理员用户名、密码

8、选择命令提示符选项

9、在命令行窗口中输入 ：

bcdedit /enum {default}

通过上图device标识字段可以看到当前查看的系统分区是在D:，不同服务器这里回显不一样。

10、继续输入（注意以下image:X:中的X为以上指令所查到的系统分区盘符，本例为D，不区分大小写）：

dism.exe /image:d:\ /cleanup-image /revertpendingactions

 

11、等待操作完成后，输入exit返回系统恢复选项菜单

 

12、重启服务器，如下开始还原更改

 13、还原更改完毕，服务器出现登录界面，系统恢复正常

 

三、安装KB5029296测试

1、再次尝试安装月度更新包KB5029296

2、重启后也是自动进入修复模式，无法启动，如上再次进行系统修复。

四、继续尝试

1、查阅微软官方文档：

KB4522133：在 2023 年 1 月 10 日扩展支持结束后继续接收安全更新的过程

2、可见在2023年1月10日后接收安全更新，需加装一些补丁，对Windows Server 2008 R2有KB5017397\KB5016892

3、还有KB4474419/KB5017397

4、尝试通过chatGPT查询KB5029307的前置补丁包，回复如下: 

 5、依次安装KB4474419

6、安装KB4490628

7、安装KB5016892

8、对于服务堆栈更新 (SSU) (KB5017397) 已有安装KB5028264替代，无需再装，追加安装补丁如下：

9、再次尝试安装 KB5029307

10、安装KB5029307完成并重启，此次重启后系统不再进入系统恢复选项界面，而是进入补丁安装界面，安装至约80%时闪转至配置WindowsUpdate失败，回系统自动回滚，KB5029307依然安装失败。

五、总结

目前Windows Server 2008 R2服务器直接安装CVE-2023-35359相关的KB5029307或KB5029296均会导致服务器系统自动进入修复模式，无法正常启动；在追加安装4个补丁后，现在安装KB5029307还是不能成功，但系统会自动修复，不会崩溃影响启动。

估计可能的原因如下：

即Windows Server 2008 R2 延长安全汇报 ESU 于 2023 年 1 月 10 日结束。微软从 2023 年 2 月 14 日开始，到 2024 年 1 月 9 日结束，仅在 Azure 上额外提供一年的扩展安全汇报。因此猜测非Azure上运行的服务器就无法安装此补丁了--如有网友已解决，欢迎留言。