Microsoft usuwa błąd WUSA blokujący instalację aktualizacji Windows z udziałów sieciowych

Wprowadzenie do problemu / definicja

Microsoft naprawił problem wpływający na instalację aktualizacji Windows przy użyciu Windows Update Standalone Installer, czyli narzędzia WUSA. Usterka dotyczyła scenariuszy, w których administratorzy uruchamiali pakiety MSU z udziałów sieciowych, co miało szczególne znaczenie w środowiskach korporacyjnych oraz serwerowych.

Choć problem nie był klasyczną luką bezpieczeństwa, jego skutki mogły bezpośrednio wpływać na poziom ochrony organizacji. Jeżeli aktualizacje zabezpieczeń nie instalują się poprawnie, rośnie ryzyko pozostawienia systemów bez wymaganych poprawek.

W skrócie

Błąd wpływał na instalację aktualizacji wydanych od 28 maja 2025 roku i nowszych, jeśli były uruchamiane z lokalizacji sieciowej zawierającej wiele plików MSU. Problem obejmował systemy Windows 11 24H2, Windows 11 25H2 oraz Windows Server 2025.

Microsoft poinformował, że poprawka została dostarczona w czerwcowych aktualizacjach zbiorczych z 2026 roku. Do czasu pełnego wdrożenia zalecanym obejściem było lokalne zapisanie plików MSU i uruchamianie instalacji bezpośrednio z dysku urządzenia.

• problem dotyczył wdrożeń z udziałów sieciowych,
• nie obejmował pojedynczych lokalnych instalacji MSU,
• mógł prowadzić do błędnej oceny stanu aktualizacji,
• został usunięty w czerwcowym cyklu aktualizacji 2026.

Kontekst / historia

WUSA to natywne narzędzie systemu Windows służące do instalowania i odinstalowywania samodzielnych pakietów aktualizacji MSU z wykorzystaniem mechanizmów Windows Update Agent. W praktyce bywa ono szeroko wykorzystywane przez administratorów do ręcznych i półautomatycznych wdrożeń poprawek w środowiskach enterprise.

Microsoft wcześniej potwierdził istnienie problemu jako znanej usterki. Z opublikowanych informacji wynikało, że awaria nie występowała podczas instalacji pojedynczego pliku MSU ani wtedy, gdy pakiety były przechowywane lokalnie. Wskazywało to, że źródłem problemu nie była sama zawartość aktualizacji, lecz konkretny sposób ich uruchamiania z zasobów sieciowych.

W 2025 roku producent ograniczał skutki incydentu częściowo za pomocą mechanizmu Known Issue Rollback dla wybranych urządzeń domowych i niezarządzanych stacji biznesowych. Pełne usunięcie problemu dla wspieranych platform nastąpiło jednak dopiero wraz z czerwcowym cyklem Patch Tuesday w 2026 roku.

Analiza techniczna

Z technicznego punktu widzenia problem pojawiał się podczas instalacji aktualizacji za pomocą WUSA z udziału sieciowego zawierającego wiele plików MSU. W takich warunkach system mógł zwracać błąd ERROR_BAD_PATHNAME, co sugeruje nieprawidłową obsługę ścieżki lub kontekstu dostępu do plików podczas wywołania instalatora.

To ważne rozróżnienie operacyjne: organizacje mogły błędnie uznawać, że awarii ulega konkretna poprawka, podczas gdy rzeczywista przyczyna leżała w mechanizmie wdrożenia. Tego typu błędy są szczególnie problematyczne w środowiskach korzystających z udziałów SMB, skryptów administracyjnych i ręcznych repozytoriów aktualizacji.

Microsoft zwrócił również uwagę na aspekt diagnostyczny. Po restarcie systemu historia aktualizacji w ustawieniach mogła nie od razu odzwierciedlać faktyczny stan wdrożenia. Producent zalecał odczekanie co najmniej 15 minut przed ponowną weryfikacją statusu, co ma znaczenie dla zespołów oceniających powodzenie procesu patchowania.

Poprawka została uwzględniona w aktualizacjach zbiorczych dla wspieranych wersji Windows 11 oraz Windows Server 2025. Oznacza to konieczność przeglądu procedur operacyjnych wszędzie tam, gdzie WUSA pozostaje elementem procesu zarządzania poprawkami.

Konsekwencje / ryzyko

Choć problem nie prowadził bezpośrednio do wykonania kodu ani eskalacji uprawnień, miał istotny wymiar bezpieczeństwa. Nieudane wdrażanie aktualizacji bezpieczeństwa zwiększa bowiem okno ekspozycji na znane luki, szczególnie jeśli organizacja opiera część patch managementu na ręcznej dystrybucji pakietów MSU.

Największe ryzyko dotyczyło środowisk enterprise, centrów danych i administratorów Windows Server 2025, którzy używają udziałów sieciowych jako repozytoriów poprawek. W takim modelu błąd mógł prowadzić do niespójnego poziomu załatania i zakłóceń w procesach raportowania zgodności.

• opóźnienia w instalacji poprawek bezpieczeństwa,
• niespójność poziomu aktualizacji między hostami,
• błędna ocena zgodności środowiska,
• większe obciążenie zespołów IT i helpdesku,
• ryzyko przeoczenia nieudanych wdrożeń.

Dodatkowym zagrożeniem była możliwość uzyskania fałszywie pozytywnego obrazu sytuacji operacyjnej, jeśli organizacja opierała się wyłącznie na uproszczonej walidacji lub lokalnej historii aktualizacji. W efekcie część systemów mogła pozostawać niezałatana mimo pozornie wykonanego zadania administracyjnego.

Rekomendacje

Organizacje zarządzające środowiskami Windows powinny potraktować tę poprawkę jako element stabilizacji procesu patch management, a nie wyłącznie naprawę błędu funkcjonalnego. Kluczowe jest potwierdzenie, że systemy objęte problemem rzeczywiście otrzymały wymagane aktualizacje.

• wdrożyć czerwcowe aktualizacje zbiorcze z 2026 roku na wspieranych systemach,
• sprawdzić, czy od 28 maja 2025 roku stosowano instalacje MSU z udziałów sieciowych,
• przeprowadzić audyt logów instalacyjnych i statusu aktualizacji,
• weryfikować poziom patchingu niezależnie od samej historii aktualizacji w interfejsie systemu,
• w scenariuszach awaryjnych kopiować pliki MSU lokalnie przed uruchomieniem WUSA,
• zaktualizować runbooki, procedury utrzymaniowe i dokumentację operacyjną,
• testować proces wdrażania w środowisku przedprodukcyjnym.

Dobrą praktyką pozostaje również monitorowanie podobnych problemów w ekosystemie Windows Update, WSUS i narzędziach do zarządzania poprawkami. Pozwala to szybciej wykrywać błędy proceduralne, które nie są podatnościami, ale realnie obniżają poziom bezpieczeństwa organizacji.

Podsumowanie

Naprawa błędu WUSA przez Microsoft zamyka problem, który przez dłuższy czas utrudniał wdrażanie aktualizacji Windows z udziałów sieciowych. Incydent pokazuje, że nawet usterki operacyjne niezwiązane bezpośrednio z exploitem mogą istotnie osłabiać bezpieczeństwo, jeśli zakłócają proces aktualizacji systemów.

Dla zespołów IT, administratorów i SOC najważniejsze jest obecnie potwierdzenie, że urządzenia objęte problemem zostały skutecznie załatane. W praktyce oznacza to potrzebę audytu, weryfikacji zgodności oraz ewentualnej korekty procedur aktualizacyjnych.

Źródła

• https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-update-failures-linked-to-wusa-installer/
• https://support.microsoft.com/
• https://support.microsoft.com/
• https://learn.microsoft.com/windows/release-health/
• https://learn.microsoft.com/windows/release-health/known-issue-rollbacks