Aggiornamento Windows KB5063878 agosto 2025: UAC più severo e installazioni in tilt

Gli aggiornamenti di sicurezza di agosto 2025 per Windows hanno rafforzato i controlli UAC su MSI per risolvere la vulnerabilità CVE-2025-50173. Ciò aumenta la sicurezza, ma genera problemi con applicazioni legacy, distribuzioni di software aziendali e processi senza interfaccia grafica.
Michele Nasi
Pubblicato il 4 set 2025
Aggiornamento Windows KB5063878 agosto 2025: UAC più severo e installazioni in tilt

Gli aggiornamenti cumulativi di sicurezza di agosto 2025 hanno introdotto un cambiamento significativo nel comportamento di Windows Installer (MSI) su tutte le versioni client e server supportate. A seguito della distribuzione di una patch correttiva per la vulnerabilità CVE-2025-50173, che risolve un problema di escalation dei privilegi in Windows Installer, Microsoft ha rafforzato i controlli legati ad User Account Control (UAC), introducendo nuove richieste di credenziali amministrative in situazioni in cui prima tutto avveniva in automatico, senza che l’utente se ne accorgesse o dovesse fare qualcosa.

Se da un lato la misura eleva la sicurezza del sistema, dall’altro ha generato effetti collaterali che incidono sull’esperienza degli utenti standard e sulla gestione centralizzata delle applicazioni in contesti aziendali.

Origine del problema: la vulnerabilità CVE-2025-50173

La vulnerabilità CVE-2025-50173 riguarda un problema di autenticazione debole all’interno del motore MSI. Un attaccante autenticato, sfruttando i noti meccanismi di riparazione o configurazione dei pacchetti d’installazione MSI, poteva ottenere privilegi SYSTEM, aggirando le restrizioni imposte da UAC.

Per mitigare il rischio, Microsoft ha introdotto con l’aggiornamento KB5063878 un comportamento più restrittivo:

Qualsiasi operazione di riparazione facendo leva sui pacchetti MSI (msiexec /fu, configurazioni utente, Active Setup, ecc.) ora genera la comparsa di una richiesta UAC che prevede la conferma delle credenziali amministrative.

Il comando msiexec /fu forza la riparazione di un’applicazione già installata via MSI, ricontrollando file e registrazioni di sistema mancanti o corrotti. Le configurazioni utente sono installazioni o modifiche che riguardano solo il profilo di un singolo utente, non l’intero PC (i.e. impostazioni personali di un’app). Active Setup è un meccanismo di Windows che esegue automaticamente operazioni di configurazione quando un nuovo utente accede per la prima volta al sistema (i.e. inizializzare componenti o impostazioni dell’app).

Inoltre, per via delle modifiche di sicurezza applicate da Microsoft con l’aggiornamento KB5063878, i processi che avvengono senza interfaccia utente (UI-less) falliscono se avviati da un utente standard.

Le scelte operate in quel di Redmond, insomma, bloccano sì l’acquisizione di privilegi più elevati ma “rompono” diversi scenari consolidati, soprattutto negli ambienti aziendali.

Scenari d’impatto

Secondo Microsoft, che mette nero su bianco i dettagli tecnici della problematica, le nuove restrizioni stanno influenzando applicazioni e procedure quotidiane. Tra i casi segnalati:

  • Applicazioni legacy come Office Professional Plus 2010 evidenziano problemi mostrando l’errore 1730 durante la configurazione.
  • Distribuzioni software tramite Configuration Manager (ConfigMgr), in particolare quelle che sfruttano configurazioni “per utente” (advertising), evidenziano anch’esse anomalie.
  • Applicazioni Autodesk (AutoCAD, Civil 3D, Inventor CAM) incontrano blocchi durante i processi MSI.
  • Funzionalità Secure Desktop, ostacolata dall’impossibilità di eseguire certe riparazioni senza privilegi elevati.

Il problema si manifesta in modo uniforme su un ampio ventaglio di sistemi operativi, versioni ed edizioni: da Windows 11 (24H2, 23H2, 22H2) fino a Windows Server, passando per tutte le varianti di Windows 10, incluse le release LTSC/LTSB.

Riconoscendo l’incidente, Microsoft ha annunciato che sta lavorando a un meccanismo di esclusione, che consentirà agli amministratori di autorizzare applicazioni specifiche ad effettuare operazioni via MSI senza la necessità di UAC.

Soluzioni temporanee

In attesa della correzione definitiva, gli utenti possono avviare l’app interessata tramite Esegui come amministratore dal menu Start o dalla ricerca. Oppure, in alternativa disattivare temporaneamente UAC.

Previa richiesta avanzata al supporto Microsoft, si può ottenere e distribuire mediante policy di gruppo un pacchetto Known Issue Rollback (KIR) già predisposto per Windows 11 (22H2, 23H2, 24H2), Windows 10 (21H2, 22H2), Windows Server 2022 e Windows Server 2025.

Questa soluzione permette agli amministratori di disattivare temporaneamente la nuova logica UAC, mitigando i disservizi senza compromettere totalmente la sicurezza.

Ti consigliamo anche

Windows 11 e USB4: come funzionano le notifiche e perché sono importanti
Windows

Windows 11 e USB4: come funzionano le notifiche e perché sono importanti
PowerToys migliora Windows 11 con la gestione dei conflitti tra scorciatoie e la modalità chiaro-scuro
Windows

PowerToys migliora Windows 11 con la gestione dei conflitti tra scorciatoie e la modalità chiaro-scuro
Windows 11: mostrare i secondi nell’orologio consuma davvero più batteria?
Windows

Windows 11: mostrare i secondi nell’orologio consuma davvero più batteria?
Windows 11 25H2 non avrà nuove funzionalità al momento del lancio
Windows

Windows 11 25H2 non avrà nuove funzionalità al momento del lancio
Link copiato negli appunti