Tag: Windows

Wprowadzenie do problemu / definicja luki

W połowie stycznia 2026 r. Microsoft wydał pozapasmowe aktualizacje (Out-of-band, OOB) dla Windows 10/11 oraz Windows Server. Powodem były dwie regresje po styczniowym Patch Tuesday (13 stycznia 2026):

1. problemy z uwierzytelnianiem w aplikacjach zdalnego dostępu (w tym Windows App) skutkujące brakiem dostępu do Azure Virtual Desktop / Windows 365 (Microsoft 365 Cloud PC),
2. błąd w Windows 11 23H2 z włączonym Secure Launch, przez który urządzenie restartowało się zamiast wyłączyć lub przejść w hibernację.

W skrócie

• OOB zostały opublikowane 17 stycznia 2026 i są dostępne w Microsoft Update Catalog (w praktyce często wymagają wdrożenia ręcznego lub przez narzędzia zarządzania aktualizacjami).
• Windows 11 23H2: KB5077797 naprawia Remote Desktop sign-in failures oraz problem „restart zamiast shutdown/hibernate” na urządzeniach z Secure Launch.
• Windows 11 24H2/25H2: KB5077744 koryguje błędy logowania podczas sesji RDP/Windows App po styczniowych poprawkach.
• Windows 10 (ESU): KB5077796 naprawia problem z logowaniem w Remote Desktop (w tym Windows App).
• Dla części środowisk Microsoft wskazuje też możliwość użycia Known Issue Rollback (KIR) w urządzeniach zarządzanych (enterprise), jako alternatywy, gdy nie da się szybko wdrożyć OOB.

Kontekst / historia / powiązania

Mechanizm OOB to „awaryjny tor” dostarczania poprawek poza regularnym cyklem. Tym razem źródłem problemów były aktualizacje bezpieczeństwa z 13 stycznia 2026, po których Microsoft zidentyfikował dwa krytyczne scenariusze wpływające na ciągłość pracy: dostęp do zasobów zdalnych (Cloud PC/AVD) oraz zachowanie zasilania na wybranych konfiguracjach Windows 11 23H2.

Analiza techniczna / szczegóły luki

1) „Credential prompt failures” i problemy logowania w Remote Desktop / Windows App (Cloud PC, AVD, Windows 365)

Po instalacji styczniowych aktualizacji część użytkowników doświadczała błędów logowania w połączeniach zdalnych. Microsoft opisuje to jako problem w krokach uwierzytelniania dla różnych aplikacji RDP w Windows, w tym Windows App, używanej m.in. do połączeń z Azure Virtual Desktop i Windows 365.

Co istotne operacyjnie: to usterka „produkcyjna”, bo dotyka dostępu do środowisk pracy (Cloud PC), a więc wpływa na dostępność. Microsoft wypuścił poprawki OOB dla wielu linii produktowych jednocześnie (Windows 11 24H2/25H2, Windows 11 23H2, Windows 10 ESU, Windows Server 2019/2022/2025).

2) Windows 11 23H2: Secure Launch → restart zamiast wyłączenia/hibernacji

Drugi błąd był węższy, ale bardzo uciążliwy: na niektórych urządzeniach Windows 11 23H2 z włączonym Secure Launch (funkcja oparta o wirtualizację, chroniąca proces startu przed zagrożeniami firmware/boot) próba wyłączenia lub hibernacji kończyła się restartem.

Naprawę zapewnia KB5077797, która wprost wskazuje poprawkę w obszarze Power & Battery dla urządzeń z Secure Launch.

Praktyczne konsekwencje / ryzyko

• Ryzyko niedostępności (Availability): problemy logowania do Cloud PC/AVD mogą blokować pracę użytkowników zdalnych, helpdesk i operacje IT (zwłaszcza w modelu „cloud-first”).
• Ryzyko operacyjne endpointów: błędny shutdown/hibernate to m.in. nieprzewidywalne stany zasilania, możliwy drenaż baterii, „zawieszone” okna serwisowe i kłopotliwe wymuszenia restartów w utrzymaniu.
• Ryzyko zmian w procesie patchowania: konieczność OOB zwiększa presję na testy przedwdrożeniowe i sensowny ring deployment (pilot → broad).

Rekomendacje operacyjne / co zrobić teraz

1) Szybka identyfikacja, czy jesteś w grupie ryzyka

• Sprawdź, czy wdrożono styczniowe aktualizacje z 13 stycznia 2026 na systemach klienckich i serwerach.
• Zweryfikuj, czy incydent dotyczy:
  • użytkowników Windows App / RDP do AVD/Windows 365 (objawy: problemy z logowaniem),
  • urządzeń Windows 11 23H2 z włączonym Secure Launch (objawy: restart zamiast shutdown/hibernate).

2) Wdrożenie właściwej poprawki OOB (preferowane, jeśli dotyczy)

Mapowanie kluczowych OOB po stronie klientów:

• Windows 11 23H2 → KB5077797 (Remote Desktop + Secure Launch shutdown/hibernate)
• Windows 11 24H2/25H2 → KB5077744 (Remote Desktop sign-in)
• Windows 10 ESU → KB5077796 (Remote Desktop sign-in)

Microsoft podaje, że OOB są publikowane w Microsoft Update Catalog i należy odwołać się do właściwych artykułów KB dla danej wersji systemu.

3) Jeśli nie możesz od razu wdrożyć OOB: obejścia

• Dla problemu z Secure Launch (Windows 11 23H2) Microsoft opisywał obejście polegające na wymuszeniu wyłączenia poleceniem shutdown /s /t 0.
• Dla problemu Remote Desktop w środowiskach zarządzanych: rozważ Known Issue Rollback (KIR) wdrażany przez Group Policy (dot. urządzeń enterprise-managed), jeśli to najszybsza ścieżka przywrócenia działania.

4) Higiena wdrożenia

• Zastosuj ring deployment: pilot na reprezentatywnej próbce (różne modele, TPM/UEFI, polityki VBS), dopiero potem szeroko.
• Dopnij monitoring: metryki nieudanych logowań RDP/Windows App, wzrost restartów, nietypowe wzorce zasilania.
• Uzupełnij runbooki o scenariusz OOB/KIR (kto decyduje, jak komunikujemy użytkownikom, jak szybko wycofujemy).

Różnice / porównania z innymi przypadkami

• OOB (Out-of-band): realna poprawka binarna/LCU poza cyklem; często wymaga świadomego wdrożenia (np. Catalog, WSUS/WUfB zależnie od kanałów).
• KIR (Known Issue Rollback): mechanizm dla urządzeń zarządzanych, który „odkręca” konkretną regresję bez pełnego odinstalowania aktualizacji (zwykle polityką). Działa świetnie jako szybki „hamulec bezpieczeństwa”, ale nie zastępuje docelowego patcha.
• Standardowe Patch Tuesday: przewidywalność i jeden cykl testów; tutaj regresja wymusiła dodatkową warstwę operacji i komunikacji.

Podsumowanie / kluczowe wnioski

• Styczniowy Patch Tuesday (13.01.2026) wywołał dwie istotne regresje: Remote Desktop/Windows App (Cloud PC/AVD) oraz shutdown/hibernate na Windows 11 23H2 z Secure Launch.
• Microsoft wydał OOB 17.01.2026, a kluczowe poprawki po stronie klientów to KB5077744 (Win11 24H2/25H2), KB5077797 (Win11 23H2) i KB5077796 (Win10 ESU).
• Dla firm: warto mieć gotową ścieżkę „awaryjną” (OOB/KIR), ringi wdrożeń oraz monitoring regresji po aktualizacjach.

Źródła / bibliografia

1. Microsoft Windows Message Center (Release Health): komunikat o OOB z 17.01.2026 (Microsoft Learn)
2. Microsoft Support: KB5077797 (Windows 11 23H2, OOB) (Microsoft Support)
3. Microsoft Support: KB5077744 (Windows 11 24H2/25H2, OOB) (Microsoft Support)
4. Microsoft Support: KB5077796 (Windows 10 ESU, OOB) (Microsoft Support)
5. BleepingComputer: zestawienie wydań OOB i kontekstu (Cloud PC + Secure Launch) (BleepingComputer)

Wprowadzenie do problemu / definicja luki

Microsoft potwierdził nowy problem po styczniowej aktualizacji zabezpieczeń Windows 11: po zainstalowaniu KB5074109 klasyczny (desktopowy) Outlook może zawieszać się lub nie kończyć procesu po zamknięciu, przez co nie daje się ponownie uruchomić — dotyczy to przede wszystkim profili z kontami POP. Status incydentu to INVESTIGATING (trwa analiza).

W praktyce jest to regresja stabilności po aktualizacji bezpieczeństwa, a nie „luka” w sensie CVE — ale wpływa na ciągłość działania i decyzje patch-managementowe (zwłaszcza tam, gdzie POP nadal funkcjonuje w małych firmach i środowiskach legacy).

W skrócie

• Co się dzieje: Outlook potrafi „wisieć”, „Not Responding”, a po zamknięciu nie wychodzi i nie restartuje się.
• Kogo dotyczy: użytkownicy Windows 11 24H2 i 25H2, którzy zainstalowali KB5074109 i używają klasycznego Outlooka z profilami POP.
• Kiedy: aktualizacja 13 stycznia 2026, komunikat Microsoftu aktualizowany 15 stycznia 2026; temat nagłośniony 16 stycznia 2026.
• Oficjalny workaround (tymczasowy): odinstalowanie KB5074109 — ale to cofa poprawki bezpieczeństwa, więc wymaga oceny ryzyka.

Kontekst / historia / powiązania

KB5074109 to skumulowana aktualizacja zabezpieczeń dla Windows 11 24H2 i 25H2, dostarczana w ramach cyklu Patch Tuesday.

Warto zauważyć, że w tym samym czasie Microsoft raportuje również inne problemy po styczniowych aktualizacjach (np. incydent z poświadczeniami/połączeniami w Azure Virtual Desktop/Windows 365 po KB5074109, opisany na Windows Release Health). To wzmacnia sygnał, że aktualizacja wnosi regresje w wybranych scenariuszach.

Analiza techniczna / szczegóły luki

Objawy na stacjach użytkowników

Z perspektywy operacyjnej najważniejsze są dwa symptomy:

1. Outlook nie kończy procesu po zamknięciu (użytkownik „zamyka”, ale proces pozostaje aktywny), przez co aplikacja nie uruchomi się ponownie bez ubicia procesu lub restartu systemu.
2. Hangi/freezy podczas pracy (część użytkowników raportuje „zawiesza się / nie odpowiada”).

Warunki wystąpienia

Microsoft wskazuje na korelację z:

• Windows 11 po aktualizacji do KB5074109,
• klasycznym Outlookiem (Outlook for Microsoft 365),
• oraz profilami pocztowymi z POP.

Co wiemy o przyczynie?

Na ten moment Microsoft nazywa to „emerging issue” i wprost komunikuje, że nie ma jeszcze pełnej listy symptomów i trwa analiza. Innymi słowy: brak oficjalnego RCA, brak terminu na poprawkę i brak bezpieczniejszego workaroundu niż cofnięcie aktualizacji.

Praktyczne konsekwencje / ryzyko

• Przestoje użytkowników i helpdesku: gdy Outlook „nie wstaje”, eskaluje to do restartów, utraty czasu i ryzyka utraty niezsynchronizowanych zmian (np. w lokalnych plikach danych).
• Ryzyko bezpieczeństwa przy odinstalowaniu KB: cofnięcie KB5074109 oznacza rezygnację z poprawek security dostarczonych w styczniu — a to decyzja, która powinna przejść przez ocenę ekspozycji i kompensujące kontrole. Microsoft (i relacje branżowe) wprost ostrzegają, że usuwanie security update’ów może odsłonić system na znane podatności.
• Ryzyko wtórne dla aktualizacji: w środowiskach zarządzanych (WSUS/Intune) problem może wymusić awaryjne wycofanie/stop rollout’u i przebudowę ringów aktualizacyjnych.

Rekomendacje operacyjne / co zrobić teraz

Poniżej plan działań, który zwykle sprawdza się w IT/SEC, gdy aktualizacja bezpieczeństwa psuje kluczową aplikację biznesową:

1) Szybka identyfikacja wpływu

• Sprawdź, czy urządzenia mają KB5074109 (Historia aktualizacji Windows Update) oraz czy użytkownicy używają profili POP w klasycznym Outlooku.

2) Działania doraźne (bez cofania patchy)

• Jeśli Outlook po zamknięciu „został w tle”, praktycznym obejściem (tymczasowym) bywa zakończenie procesu Outlook w Menedżerze zadań i ponowne uruchomienie aplikacji. To nie jest oficjalny workaround Microsoftu, ale często minimalizuje przestoje bez cofania aktualizacji (traktuj jako taktykę awaryjną, nie rozwiązanie).
• Rozważ przełączenie użytkowników na alternatywny dostęp do poczty (np. webmail), jeśli organizacja go udostępnia — na czas stabilizacji.

3) Oficjalny workaround Microsoftu (gdy biznes stoi)

Microsoft wskazuje, że obejściem jest odinstalowanie KB5074109:
Ustawienia → Windows Update → Historia aktualizacji → Odinstaluj aktualizacje → KB5074109 → Odinstaluj.

Uwaga (SEC): to cofnięcie aktualizacji zabezpieczeń — jeżeli decydujesz się na ten krok, zastosuj kompensacje (np. wzmocnienie reguł EDR, ograniczenie ekspozycji usług, szybkie wdrożenie poprawki OOB, gdy się pojawi).

4) Patch management w firmie (minimalizacja blast radius)

• Wstrzymaj rollout KB5074109 w ringach produkcyjnych dla populacji z POP (jeśli możesz to wysegmentować).
• Utrzymaj instalację KB na urządzeniach, które nie są dotknięte (żeby nie tracić ochrony), a dla dotkniętych zdefiniuj warunki awaryjnego rollbacku i monitoring.

5) Monitoring i komunikacja

• Monitoruj wpis Microsoftu w „Known issues” dla klasycznego Outlooka (pozycja dotycząca KB5074109 ma status „Investigating”).
• Śledź notatki do KB5074109 oraz Windows Release Health pod kątem ewentualnych aktualizacji/OOB.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

POP vs IMAP/Exchange — dlaczego to ma znaczenie w tym incydencie?

• POP to model „pobierz na komputer”, który w praktyce często opiera się o lokalne pliki danych i specyficzne zachowania przy zamykaniu/synchronizacji. W takim układzie regresje w warstwie systemowej mogą bardziej boleć, bo „ostatnia mila” dzieje się lokalnie. (To wyjaśnia, czemu Microsoft wskazuje POP jako wspólny mianownik, choć nie stanowi to jeszcze dowodu przyczyny).
• Dla zespołów IT to kolejny argument, by tam gdzie to możliwe, planowo migrować POP → IMAP/Exchange (redukcja ryzyk operacyjnych i lepsza obsługa nowoczesnych mechanizmów).

KB5074109 a inne regresje

Sam fakt, że KB5074109 pojawia się również w innych komunikatach „known issue” (np. AVD/Windows 365) sugeruje, że styczniowy pakiet ma więcej niż jeden „ostry brzeg” i wymaga ostrożniejszego rollout’u.

Podsumowanie / kluczowe wnioski

• KB5074109 (Windows 11 24H2/25H2) może powodować, że klasyczny Outlook z POP zawiesza się lub nie zamyka poprawnie i nie daje się ponownie uruchomić.
• Microsoft jest w trybie Investigating i na dziś jedynym oficjalnym obejściem pozostaje odinstalowanie KB, co niesie koszt bezpieczeństwa.
• Najrozsądniejsza strategia to segmentacja ryzyka: zatrzymać rollout dla populacji POP, zapewnić awaryjne obejścia, a rollback KB robić tylko tam, gdzie biznesowo konieczne — z kompensacjami i monitoringiem na fix/OOB.

Źródła / bibliografia

1. Microsoft Support: Classic Outlook POP account profiles hang and freeze after Windows 11 update to KB5074109 (Microsoft Support)
2. Microsoft Support: Fixes or workarounds for recent issues in classic Outlook for Windows (sekcja „Known issues”, styczeń 2026) (Microsoft Support)
3. Microsoft Support: January 13, 2026—KB5074109 (OS Builds …) (Microsoft Support)
4. Microsoft Learn: Windows 11, version 25H2 known issues and notifications (Windows Release Health; odniesienia do KB5074109) (Microsoft Learn)
5. BleepingComputer: Microsoft: Windows 11 update causes Outlook freezes for POP users (16 stycznia 2026) (BleepingComputer)