Cosa sta succedendo con Windows 11 e i backup
Se utilizzi software di backup come Macrium Reflect, Acronis Cyber Protect Cloud, UrBackup Server o NinjaOne Backup, potresti aver riscontrato problemi dopo l’aggiornamento di Windows 11 rilasciato il 14 aprile. Microsoft ha bloccato un driver essenziale per questi programmi, rendendo impossibile creare snapshot e gestire le immagini di backup. La buona notizia è che esistono soluzioni immediate per risolvere il problema senza compromettere la sicurezza del tuo sistema.
Il problema in breve
Con l’aggiornamento KB5083769 per Windows 11 25H2/24H2 (e KB5082052 per Windows 11 23H2), Microsoft ha aggiunto il driver psmounterex.sys alla propria blocklist di sicurezza. Questo driver è stato identificato come vulnerabile (CVE-2023-43896) e potrebbe essere sfruttato da malintenzionati per ottenere privilegi elevati ed eseguire codice arbitrario sul sistema. Sebbene la decisione di Microsoft sia corretta dal punto di vista della sicurezza, ha causato effetti collaterali significativi per gli utenti che dipendono da software di backup.
Errori comuni dopo l’aggiornamento
Gli utenti segnalano principalmente due categorie di problemi:
- Errori di timeout del Volume Shadow Copy Service (VSS): durante il tentativo di creare snapshot, il servizio VSS di Microsoft supera il timeout e interrompe l’operazione
- Impossibilità di ripristinare da immagini: i software di backup non riescono a montare e gestire le immagini di sistema precedentemente create
Questi messaggi di errore possono essere frustranti, soprattutto se hai urgenza di eseguire backup o ripristini critici.
Soluzioni disponibili
La soluzione consigliata da Microsoft: aggiornare i software di backup alle versioni più recenti. I produttori di software di backup stanno rilasciando patch per adattarsi alla nuova blocklist di Windows 11. Contatta il supporto del tuo software di backup o visita il sito ufficiale del produttore per scaricare la versione aggiornata.
Soluzione temporanea di Acronis: se necessario in modo urgente, Acronis ha consigliato la rimozione temporanea dell’aggiornamento KB5083769 come workaround provvisorio. Tuttavia, questa opzione non è ideale dal punto di vista della sicurezza, poiché rimani esposto ad altre vulnerabilità corrette dall’aggiornamento.
Opzione tecnica avanzata: esiste la possibilità di disattivare la blocklist nel registro di Windows, ma questa operazione è altamente sconsigliata perché aumenta significativamente il rischio di infezione tramite driver vulnerabili. Questa soluzione dovrebbe essere considerata solo in scenari di emergenza estrema e con piena consapevolezza dei rischi di sicurezza.
Perché Microsoft non rimuoverà il blocco
Microsoft ha chiarito che il driver rimarrà nella blocklist in modo permanente. La vulnerabilità CVE-2023-43896 è considerata grave perché consente l’elevazione dei privilegi e l’esecuzione di codice arbitrario. Mantenere il driver bloccato è la scelta corretta per proteggere milioni di utenti da potenziali attacchi. I produttori di software di backup hanno le competenze tecniche per aggiornare i loro prodotti e utilizzare metodi alternativi per montare e gestire le immagini.
Cosa fare adesso
- Identifica il tuo software di backup: verifica quale programma di backup utilizzi
- Controlla gli aggiornamenti disponibili: visita il sito ufficiale del produttore o il centro di aggiornamento del software
- Installa la versione più recente: scarica e installa la patch più recente che supporta Windows 11 KB5083769
- Testa la funzionalità: dopo l’aggiornamento, esegui un backup di prova per assicurarti che tutto funzioni correttamente
- Mantieni gli aggiornamenti di Windows: non disinstallare KB5083769, poiché contiene altre correzioni di sicurezza importanti
Technical Deep Dive
Analisi tecnica del driver psmounterex.sys
Il driver psmounterex.sys è stato utilizzato da numerosi software di backup per operazioni di montaggio e gestione delle immagini di sistema. Funziona a livello kernel, il che lo rende potente ma anche critico dal punto di vista della sicurezza. La vulnerabilità CVE-2023-43896 consente a un utente locale di escalare i privilegi tramite una sequenza specifica di operazioni, potenzialmente portando all’esecuzione di codice arbitrario con privilegi SYSTEM.
Meccanismo della blocklist di Windows
La blocklist dei driver di Windows è gestita tramite il registro di sistema e viene applicata durante il caricamento del kernel. Quando Windows 11 tenta di caricare un driver bloccato, il sistema interrompe il caricamento e registra un evento nel registro di sistema. Per gli amministratori che necessitano di accedere alla blocklist, la chiave del registro è:
HKLM\SYSTEM\CurrentControlSet\Control\CI\Certs
Tuttavia, modificare questa chiave richiede privilegi amministrativi elevati e comporta rischi significativi di sicurezza.
Impatto sul Volume Shadow Copy Service
Il Volume Shadow Copy Service (VSS) è un componente critico di Windows che consente la creazione di snapshot delle partizioni. Molti software di backup si basano su VSS per creare copie coerenti del file system senza arrestare il sistema. Quando il driver psmounterex.sys viene bloccato, i software che dipendono da questo driver non riescono a completare le operazioni di montaggio, causando timeout nel VSS.
Cronologia degli aggiornamenti correlati
Microsoft ha rilasciato diverse versioni di aggiornamenti con problemi correlati:
- KB5083769 (14 aprile 2026): blocco di psmounterex.sys, problemi con backup e BitLocker
- KB5083631 (30 aprile 2026): correzione di Remote Desktop, ma mantiene il blocco del driver
- KB5082052 (per Windows 11 23H2): contiene lo stesso blocco del driver
Considerazioni di sicurezza per gli amministratori
Gli amministratori IT che gestiscono ambienti aziendali devono valutare attentamente il timing degli aggiornamenti. Sebbene sia importante mantenere i sistemi aggiornati, è altrettanto importante coordinare gli aggiornamenti con i team di backup per garantire che siano disponibili versioni compatibili del software di backup prima di distribuire gli aggiornamenti di Windows 11 in tutta l’organizzazione.
Prospettive future
Ci si aspetta che i principali produttori di software di backup (Macrium, Acronis, NinjaOne, Veeam e altri) rilascino aggiornamenti compatibili entro le prossime settimane. Questi aggiornamenti utilizzeranno API alternative e metodi di montaggio che non dipendono dal driver bloccato. Gli utenti dovrebbero monitorare gli annunci ufficiali dai loro fornitori di software di backup per le date di rilascio delle patch di compatibilità.
Fonte: https://www.punto-informatico.it/windows-11-kb5083769-blocca-software-backup/
