Le recenti patch cumulative per Windows 11 hanno introdotto un cambiamento importante nella gestione dei driver a livello kernel, con effetti inattesi per alcuni software di backup molto diffusi. In particolare, gli aggiornamenti KB5083769 e KB5083631 hanno attivato un blocco automatico per componenti considerati rischiosi, anche se firmati digitalmente.
La scelta di Microsoft rientra in una strategia ormai consolidata: ridurre l’esposizione ai cosiddetti driver legittimi ma vulnerabili, spesso usati dagli attaccanti per aggirare i controlli di sicurezza del sistema. Il rovescio della medaglia è che strumenti professionali, progettati anni fa, possono perdere funzioni fondamentali.
Windows 11 e la blocklist dei driver vulnerabili
Al centro del problema c’è la blocklist dei driver vulnerabili, un elenco interno che Windows usa per impedire il caricamento di componenti giudicati pericolosi. Con gli aggiornamenti più recenti, il sistema operativo ha iniziato a bloccare in modo più rigoroso alcuni driver kernel, senza distinguere sempre tra versioni vecchie e versioni già corrette dai vendor.
Uno dei casi più evidenti riguarda psmounterex.sys, driver utilizzato da Macrium Reflect per montare le immagini di backup come unità virtuali. Si tratta di una funzione utile in ambito tecnico e aziendale, perché consente di esplorare rapidamente un archivio di ripristino come se fosse un disco collegato al computer.
Il problema è che un driver che opera in modalità kernel accede a risorse molto sensibili del sistema. Se presenta una falla, può diventare una via d’ingresso privilegiata per eseguire codice malevolo. Per questo Microsoft ha scelto di intervenire in modo preventivo, inserendo questi componenti in una lista di esclusione.
Perché Macrium Reflect è stato colpito
Nel caso di Macrium Reflect, l’effetto più visibile è l’impossibilità di montare le immagini di backup. La creazione dei salvataggi continua a funzionare, ma viene meno una delle opzioni più comode per verificare o recuperare rapidamente i dati contenuti in un’immagine disco.
La vulnerabilità associata al driver era già nota e classificata come CVE-2023-43896. Macrium aveva già distribuito una correzione, ma la blocklist di Windows si basa su identificatori statici e può continuare a bloccare un componente anche dopo un aggiornamento. È un approccio efficace sul piano difensivo, ma non sempre flessibile dal punto di vista della compatibilità.
Secondo quanto emerso dal supporto tecnico e dai forum specializzati, il problema riguarda soprattutto la versione 8.1 del software. La versione 10, invece, utilizza un meccanismo diverso e non dipende più da quel driver per il montaggio delle immagini.
Come ripristinare la funzionalità e quali rischi comporta
Chi ha bisogno di riattivare temporaneamente il montaggio dei backup può intervenire sul Registro di sistema e disabilitare la blocklist. Da prompt dei comandi con privilegi amministrativi, il comando da usare è: reg add “HKLM\SYSTEM\CurrentControlSet\Control\CI\Config” /v VulnerableDriverBlocklistEnable /t REG_DWORD /d 0 /f.
Questa modifica, però, non va sottovalutata. Disattivare il controllo significa riaprire una superficie di attacco che Microsoft ha deliberatamente chiuso con le patch recenti. Il riavvio successivo applica la nuova configurazione e disabilita la protezione per tutti i driver inclusi nella lista.
Per tornare alle impostazioni predefinite basta eseguire il comando opposto: reg add “HKLM\SYSTEM\CurrentControlSet\Control\CI\Config” /v VulnerableDriverBlocklistEnable /t REG_DWORD /d 1 /f. In generale, questa soluzione dovrebbe essere considerata solo temporanea e limitata a esigenze specifiche, soprattutto in ambienti aziendali o su sistemi esposti a maggiori rischi.
