Microsoft hat mit dem Sicherheitsupdate vom August 2025 (KB5063878) eine Anpassung am Verhalten des Windows Installers vorgenommen. Ziel war es, die Schwachstelle CVE-2025-50173 zu schließen, indem für bestimmte MSI-Reparaturvorgänge künftig zwingend eine Bestätigung über die Benutzerkontensteuerung (User Account Control, UAC) erforderlich ist. Damit soll verhindert werden, dass potenziell schädliche Prozesse unbemerkt Änderungen am System vornehmen.

Unerwartete UAC-Abfragen

In der Praxis führt diese Maßnahme dazu, dass Standardnutzer seit Installation des Updates häufiger mit UAC-Abfragen konfrontiert werden. Betroffen sind unter anderem Reparaturbefehle wie "msiexec /fu" sowie bestimmte Autodesk-Anwendungen, darunter AutoCAD, Civil 3D oder Inventor CAM. Auch beim erstmaligen Einrichten von Programmen, bei Active-Setup-Vorgängen oder bei Deployments über den Configuration Manager können die Abfragen auftreten.

Kommt es zu einer MSI-Reparatur ohne sichtbare Benutzeroberfläche, schlägt der Prozess fehl und gibt eine Fehlermeldung aus. Ein Beispiel ist die Installation von Office Professional Plus 2010 durch Standardnutzer, die mit dem Fehlercode 1730 abbricht. Als kurzfristige Lösung empfiehlt Microsoft, betroffene Anwendungen nach Möglichkeit mit Administratorrechten zu starten.

Abhilfe dank Gruppenrichtlinie

Für Umgebungen, in denen dies nicht möglich ist, stellt der Hersteller über die Funktion "Known Issue Rollback" (KIR) eine Gruppenrichtlinie bereit. Diese kann von IT-Administratoren auf verschiedenen Windows-Server-Versionen sowie auf Windows 10 und 11 angewendet werden. Microsoft rät allerdings davon ab, sicherheitsrelevante Funktionen komplett zu deaktivieren.

Langfristig plant Microsoft, Administratoren mehr Steuerungsmöglichkeiten zu geben. Künftig sollen bestimmte Anwendungen von der Pflicht zur UAC-Bestätigung ausgenommen werden können, ohne die Sicherheit insgesamt zu schwächen. Ein entsprechendes Update ist in Arbeit, ein Termin für die Bereitstellung steht jedoch noch aus.