Microsoft conferma: gli aggiornamenti di sicurezza di aprile 2026 causano malfunzionamenti in applicazioni di backup

Microsoft ha confermato che gli aggiornamenti di sicurezza di aprile 2026 stanno causando fallimenti in applicazioni di backup di terze parti che utilizzano il driver psmounterex.sys. Questo problema, segnalato per la prima volta da BleepinComputer la scorsa settimana, colpisce software che utilizzano snapshot del Volume Shadow Copy Service (VSS) e provoca fallimenti a causa di un timeout del servizio VSS.

Tra i software interessati vi sono prodotti di Macrium (Reflect), Acronis (Cyber Protect Cloud), UrBackup Server e NinjaOne Backup, che operano su dispositivi Windows 11, Windows Server e Windows 10.

Dettagli tecnici e cause del problema

Microsoft ha aggiornato i propri documenti di supporto per confermare che gli aggiornamenti di aprile includono un cambiamento di sicurezza che aggiunge psmounterex.sys all'elenco di blocco dei driver vulnerabili dell'azienda. Questo cambiamento mira a difendere gli utenti da attacchi che sfruttano una vulnerabilità di overflow di buffer ad alta gravità (CVE-2023-43896), che consente agli attaccanti di aumentare i privilegi o eseguire codice arbitrario.

Microsoft ha consigliato agli utenti interessati di aggiornare alle versioni più recenti delle loro applicazioni, che utilizzano driver più recenti e includono le protezioni necessarie.

Comportamenti osservati su sistemi interessati

Su sistemi interessati, dove il driver vulnerabile è bloccato dall'applicazione Windows Code Integrity, gli amministratori IT e gli utenti potrebbero osservare i seguenti comportamenti:

  • Le applicazioni di backup che dipendono dal driver kernel psmounterex.sys potrebbero fallire nel montare i file di immagine di backup come dischi virtuali.
  • I tentativi di esplorare o ripristinare da un'immagine di backup potrebbero risultare in errori o timeout.
  • I fallimenti potrebbero essere seguiti da messaggi di errore, come "Il backup è fallito perché Microsoft VSS ha scaduto il timeout durante la creazione dello snapshot" o VSSEBAD_STATE.
  • L'Event Viewer potrebbe mostrare errori Code Integrity che indicano che psmounterex.sys è stato bloccato dal caricamento.
  • La creazione di backup (backup completi dell'immagine) potrebbe ancora avere successo, ma le operazioni di montaggio dell'immagine falliranno.

Consigli di Microsoft

"Nell'aggiornamento di sicurezza di aprile 2026 di Windows, abbiamo aggiunto il driver kernel vulnerabile noto psmounterex.sys alla Vulnerable Driver Blocklist. Le applicazioni di backup che dipendono da questo driver potrebbero riscontrare fallimenti quando tentano di montare o gestire le immagini disco", ha dichiarato Microsoft a BleepinComputer.

"Non consigliamo di disinstallare o mettere in pausa questo aggiornamento. I clienti con un driver interessato dovrebbero installare le versioni più recenti delle applicazioni e validarle contro l'elenco di blocco dei driver per rimanere protetti."

Come verificare il blocco del driver

Per verificare se l'elenco di blocco dei driver vulnerabili di Microsoft blocca un driver, i clienti interessati possono cercare l'Event ID 3077 con Policy ID {D2BDA982-CCF6-4344-AC5B-0B44427B6816} nel registro operativo Code Integrity.

Per farlo, fare clic con il pulsante destro del mouse su Start, selezionare Event Viewer, andare su 'Applications and Services Logs\Microsoft\Windows\CodeIntegrity\Operational' nel riquadro di sinistra e cercare l'Event ID 3077 nel riquadro centrale.

Altri problemi segnalati

All'inizio di questo mese, Microsoft ha avvertito che alcuni dispositivi Windows Server 2025 potrebbero anche avviare in modalità di ripristino BitLocker, richiedendo agli utenti di inserire la chiave BitLocker dopo l'installazione dell'aggiornamento KB5082063.

Microsoft ha anche rilasciato aggiornamenti fuori banda (OOB) per risolvere i problemi che affliggono i sistemi Windows Server, che hanno causato fallimenti nell'installazione degli aggiornamenti e loop di riavvio dopo l'installazione degli aggiornamenti di sicurezza di aprile 2026.

Raccomandazioni per gli amministratori di backup

Per coloro che gestiscono i backup, il prossimo webinar "From phishing to fallout: why MSPs must rethink both security and recovery" esamina come sia gli attacchi che i guasti del sistema possano influire sul ripristino e cosa le organizzazioni possono fare per migliorare la resilienza.

Commenti degli utenti

Un utente ha segnalato che non ha riscontrato problemi con Terabyte Unlimited's Image for Windows, specificando di non essere affiliato con loro.

Impatto sul settore MSP

La situazione evidenzia sfide critiche per i Managed Service Providers (MSP), costretti a bilanciare sicurezza e continuità operativa. Gli esperti sottolineano come gli aggiornamenti di sicurezza, pur essenziali, possano creare vulnerabilità transitorie nei sistemi di backup. Per gli MSP che gestiscono più clienti, la gestione di tali interruzioni richiede protocolli aggiornati e comunicazione proattiva con gli utenti finali.

Soluzioni alternative temporanee

Alcuni amministratori hanno riportato successo nell'utilizzo di soluzioni alternative come Volume Shadow Copy Service (VSS) locali o snapshot di terze parti durante l'attesa di patch ufficiali. Tuttavia, Microsoft sconsiglia fortemente tali workarounds, poiché potrebbero esporre i sistemi a rischi di sicurezza non mitigati.

Conseguenze a lungo termine

Gli analisti prevedono che questo incidente possa accelerare l'adozione di soluzioni di backup basate su cloud, meno dipendenti dai driver di sistema. I fornitori di software stanno già segnalando un aumento delle richieste per soluzioni ibride che combinano backup locali e cloud, con opzioni di ripristino più flessibili.

Raccomandazioni per le aziende

Le organizzazioni dovrebbero valutare l'implementazione di:

  • Test di backup periodici su ambienti isolati prima di applicare aggiornamenti di sistema
  • Piani di ripristino alternativi validati
  • Monitoraggio continuo delle patch di sicurezza

Webinar informativo

Il prossimo webinar "From phishing to fallout: why MSPs must rethink both security and recovery" (12 e 14 maggio) esplorerà strategie avanzate per migliorare la resilienza operativa. Registrati qui per approfondire.

Considerazioni sulla sicurezza

la vulnerabilità CVE-2023-43896, alla base di queste misure di sicurezza, è stata sfruttata in attacchi mirati. Le organizzazioni devono mantenere elevata la guardia contro possibili exploit derivanti da configurazioni di sistema non aggiornate.

Scenario globale

Questa situazione si inserisce in un contesto più ampio di aumento degli attacchi informatici che sfruttano vulnerabilità di terze parti. Le aziende tecnologiche stanno collaborando per migliorare i processi di segnalazione e risoluzione delle vulnerabilità, ma gli utenti finali devono essere preparati a gestire periodi di transizione durante gli aggiornamenti critici.

Nota Editoriale e Disclaimer

Le guide e i contenuti pubblicati su GoYou sono frutto di attività di ricerca e analisi indipendente, a scopo informativo, educativo e di approfondimento.

GoYou non costituisce una testata giornalistica né un prodotto editoriale ai sensi della Legge n. 62/2001 e non svolge attività di informazione in tempo reale.

Il progetto GoYou non fornisce consulenza professionale, tecnica, legale o finanziaria e declina ogni responsabilità per l’uso improprio delle informazioni pubblicate.

Nel settore Crypto, ogni investimento comporta rischi: si invita il lettore a informarsi sempre in modo autonomo prima di assumere qualsiasi decisione.