Aggiornamento Windows KB5063878 agosto 2025: UAC più severo e installazioni in tilt (problema risolto)

Gli aggiornamenti cumulativi di sicurezza di agosto 2025 hanno introdotto un cambiamento significativo nel comportamento di Windows Installer (MSI) su tutte le versioni client e server supportate. A seguito della distribuzione di una patch correttiva per la vulnerabilità CVE-2025-50173, che risolve un problema di escalation dei privilegi in Windows Installer, Microsoft ha rafforzato i controlli legati ad User Account Control (UAC), introducendo nuove richieste di credenziali amministrative in situazioni in cui prima tutto avveniva in automatico, senza che l’utente se ne accorgesse o dovesse fare qualcosa.

Se da un lato la misura eleva la sicurezza del sistema, dall’altro ha generato effetti collaterali che incidono sull’esperienza degli utenti standard e sulla gestione centralizzata delle applicazioni in contesti aziendali. Più avanti, presentiamo la soluzione al problema.

Origine del problema: la vulnerabilità CVE-2025-50173

La vulnerabilità CVE-2025-50173 riguarda un problema di autenticazione debole all’interno del motore MSI. Un attaccante autenticato, sfruttando i noti meccanismi di riparazione o configurazione dei pacchetti d’installazione MSI, poteva ottenere privilegi SYSTEM, aggirando le restrizioni imposte da UAC.

Per mitigare il rischio, Microsoft ha introdotto con l’aggiornamento KB5063878 un comportamento più restrittivo:

Qualsiasi operazione di riparazione facendo leva sui pacchetti MSI (msiexec /fu, configurazioni utente, Active Setup, ecc.) ora genera la comparsa di una richiesta UAC che prevede la conferma delle credenziali amministrative.

Il comando msiexec /fu forza la riparazione di un’applicazione già installata via MSI, ricontrollando file e registrazioni di sistema mancanti o corrotti. Le configurazioni utente sono installazioni o modifiche che riguardano solo il profilo di un singolo utente, non l’intero PC (i.e. impostazioni personali di un’app). Active Setup è un meccanismo di Windows che esegue automaticamente operazioni di configurazione quando un nuovo utente accede per la prima volta al sistema (i.e. inizializzare componenti o impostazioni dell’app).

Inoltre, per via delle modifiche di sicurezza applicate da Microsoft con l’aggiornamento KB5063878, i processi che avvengono senza interfaccia utente (UI-less) falliscono se avviati da un utente standard.

Le scelte operate in quel di Redmond, insomma, bloccano sì l’acquisizione di privilegi più elevati ma “rompono” diversi scenari consolidati, soprattutto negli ambienti aziendali.

Scenari d’impatto

Secondo Microsoft, che mette nero su bianco i dettagli tecnici della problematica, le nuove restrizioni stanno influenzando applicazioni e procedure quotidiane. Tra i casi segnalati:

• Applicazioni legacy come Office Professional Plus 2010 evidenziano problemi mostrando l’errore 1730 durante la configurazione.
• Distribuzioni software tramite Configuration Manager (ConfigMgr), in particolare quelle che sfruttano configurazioni “per utente” (advertising), evidenziano anch’esse anomalie.
• Applicazioni Autodesk (AutoCAD, Civil 3D, Inventor CAM) incontrano blocchi durante i processi MSI.
• Funzionalità Secure Desktop, ostacolata dall’impossibilità di eseguire certe riparazioni senza privilegi elevati.

Il problema si manifesta in modo uniforme su un ampio ventaglio di sistemi operativi, versioni ed edizioni: da Windows 11 (24H2, 23H2, 22H2) fino a Windows Server, passando per tutte le varianti di Windows 10, incluse le release LTSC/LTSB.

Riconoscendo l’incidente, Microsoft ha annunciato che sta lavorando a un meccanismo di esclusione, che consentirà agli amministratori di autorizzare applicazioni specifiche ad effettuare operazioni via MSI senza la necessità di UAC.

Come risolvere il problema

Con gli aggiornamenti Windows di settembre 2025, Microsoft ha introdotto una revisione del comportamento delle richieste UAC, limitandone il perimetro. In particolare:

La richiesta di credenziali amministrative compare ora solo se il pacchetto MSI contiene particolari custom action. Si tratta di operazioni personalizzate che uno sviluppatore di software inserisce all’interno del pacchetto di installazione per eseguire attività aggiuntive non previste dal flusso standard. Nello specifico, la comparsa di UAC si manifesta solo se le custom action richiedono privilegi amministrativi per essere eseguite.

Gli amministratori IT hanno la possibilità di disattivare UAC per specifiche applicazioni, tramite un sistema di “lista bianca” configurabile attraverso il registro di sistema.

La gestione avviene attraverso due nuove chiavi di registro, SecureRepairPolicy e SecureRepairWhitelist, posizionate nel percorso HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer.

Questa soluzione permette di mantenere un livello di sicurezza adeguato contro possibili exploit, ma al tempo stesso consente di ridurre l’impatto sugli utenti e sulle applicazioni aziendali che si basano sul Windows Installer.