Microsoft blocca KMS38, sistema che permetteva di attivare Windows senza licenza

A novembre 2025, con il rilascio degli aggiornamenti KB5068861 e KB5067112, Microsoft ha apportato una modifica radicale al sistema di attivazione di Windows. I tecnici di Redmond hanno definitivamente rimosso il supporto per GatherOSstate.exe, un componente storico del sistema operativo utilizzato per verificare l’idoneità agli upgrade che, negli anni, era diventato la base tecnica per uno dei metodi di attivazione non ufficiali più diffusi, il cosiddetto KMS38.

L’intervento non è una semplice contromisura contro l’hacking. È invece il tassello di una strategia più ampia con cui Microsoft sta ridisegnando l’intero modello di licensing e attivazione.

Perché Microsoft ha rimosso GatherOSstate e disattivato KMS38: oltre la lotta alla pirateria

GatherOSstate nacque per verificare se un sistema fosse idoneo all’upgrade gratuito a Windows 10. In quell’epoca, Microsoft doveva garantire compatibilità con installazioni eterogenee, vecchi sistemi OEM, percorsi di upgrade offline e scenari aziendali non connessi alla rete.

Con l’arrivo di Windows 11, il contesto è cambiato radicalmente: le licenze digitali (HWID) sono diventate il meccanismo principale per la gestione delle postazioni degli utenti consumer. Inoltre, Microsoft sta progressivamente spostando il controllo dell’idoneità agli upgrade su strumenti che fanno perno sul cloud. Anche se poi, alla fine, alcune semplici modifiche a livello del registro di sistema permettono di aggiornare in-place da Windows 10 a Windows 11 sistemi sulla carta non supportati.

Tuttavia, la persistenza di GatherOSstate sul sistema, manteneva attivo un percorso obsoleto che Microsoft non intendeva più utilizzare. La sua eliminazione, quindi, non è una “punizione” per gli attivatori di terze parti, ma un atto di manutenzione architetturale.

KMS38: perché il metodo era destinato a sparire

Tante testate scrivono che la mossa di Microsoft è tesa a bloccare uno strumento ampiamente usato per la pirateria di Windows. In realtà KMS38 è da tempo dismesso dagli stessi autori di Massgrave, uno dei kit di attivazione più popolari.

KMS38 sfruttava la capacità di GatherOSstate di generare un ticket d’idoneità manipolato, estendendo in modo artificioso il periodo di attivazione KMS. KMS (Key Management Service) è un protocollo ufficiale, supportato da Microsoft, progettato per la gestione delle attivazioni in ambito enterprise: un server KMS interno risponde alle richieste dei client KMS.

Quando un client si attiva via KMS, riceve uno stato di attivazione temporaneo (tipicamente valido 180 giorni); il client deve rinnovare periodicamente per mantenere lo stato attivo.

KMS38 manipolava lo stato che GatherOSstate e i meccanismi di upgrade producevano/valutavano, inducendo il sistema a considerare il periodo di attivazione molto più lungo del solito. Il risultato pratico era che lo stato memorizzato da SPP (Software Protection Platform, sottosistema che gestisce l’attivazione, la validità delle licenze e la protezione del software) presentava una data di scadenza molto distante (fino al limite tecnico del 19 gennaio 2038), invece del ciclo normale di 180 giorni.

Il riferimento alla data del 2038 deriva da un limite tecnico (bug Y2K38) che accomuna i timestamp a 32 bit: era quindi un confine imposto dall’architettura, non certo una “licenza permanente”.

Il ruolo del bug dell’anno 2038 e GatherOSstate

GatherOSstate utilizzava timestamp a 32 bit con segno, lo stesso formato alla base del celebre bug Y2K38. I timestamp a 32 bit con segno rappresentano il numero di secondi trascorsi dal 1° gennaio 1970 (Unix Time Stamp). Il valore massimo rappresentabile è 2.147.483.647 secondi, che corrisponde al 19 gennaio 2038, 03:14:07 UTC. Oltre quella data, il valore “deborda” e diventa negativo, generando un errore o un timestamp incoerente.

KMS38 forzava Windows a considerare un’attivazione valida fino al punto massimo possibile nel tempo, cioè fino al limite del timestamp a 32 bit. Ma poiché la logica di GatherOSstate — e più in generale i percorsi di upgrade/valutazione dell’idoneità — si basava su quelle stesse strutture temporali, non era possibile impostare una scadenza oltre il 2038 senza provocare: overflow del timestamp, un valore corrotto, il fallimento della validazione dello stato di attivazione.

No, Microsoft non ha rimosso GatherOSstate per bloccare la pirateria

Con l’intervento applicato sulla configurazione di Windows attraverso gli aggiornamenti KB5068861 e KB5067112 di novembre 2025, Microsoft chiude un percorso iniziato già tempo fa.

Basti pensare che con Windows 11 build 26040 (inizio 2024), Microsoft aveva rimosso il file GatherOSstate.exe dai supporti di installazione (immagini ISO del sistema operativo); gli aggiornamenti cumulativi del 2025 hanno ritirato del tutto la sua funzionalità; ogni feature update (aggiornamento annuale) azzerava il KMS grace period, rendendo il metodo instabile.

Come evidenziato in precedenza, tuttavia, Microsoft non è in ritardo. Non ha rimosso GatherOSstate per “tagliare le gambe” alle attivazioni illecite di Windows. A Redmond sanno benissimo che esistono altri metodi per attivare Windows senza essere in possesso di una regolare licenza.

Basti pensare che su GitHub è pubblicato un progetto Python che emula un server KMS; il progetto Massgrave ha recentemente sbandierato il suo sistema TSForge, un exploit in grado di aggredire SPP e consentire un’attivazione offline. Il punto è che un’attivazione non autorizzata dei prodotti Microsoft non equivale assolutamente all’acquisizione di una licenza.

Rischi legali, operativi e reputazionali derivanti dall’uso di sistemi di attivazione non ufficiali

È fondamentale distinguere un concetto chiave: un sistema attivato non è necessariamente un sistema dotato di regolare licenza. L’attivazione è solo un meccanismo tecnico, mentre la licenza è un titolo giuridico d’uso. Se manca quest’ultimo, il software viene considerato “pirata”, indipendentemente dal fatto che risulti “attivato”.

In Italia, l’uso di software senza licenza rientra nelle ipotesi previste dalla Legge 633/1941 sul diritto d’autore, modificata dal D.lgs. 518/1992 e successive integrazioni. Le conseguenze possono includere:

• Sanzioni pecuniarie molto elevate (fino a decine di migliaia di euro per singola violazione).
• Sequestro delle apparecchiature e dei sistemi aziendali coinvolti.
• Responsabilità penale per l’amministratore, il responsabile IT e chi effettua materialmente l’installazione.
• Azioni civili risarcitorie da parte del titolare dei diritti (in questo caso Microsoft).

Nel caso di aziende, i rischi sono ancora più elevati: interdizione da appalti pubblici, sospensione delle attività, commissariamento (nel caso di enti pubblici). L’uso di software attivato con metodi non ufficiali può avere un impatto distruttivo sul business.

Rischi nei controlli fiscali, societari e di compliance

Le aziende italiane che operano in settori regolamentati (sanità, professioni, PA, finance, telecomunicazioni, manifattura) sono spesso soggette ad audit esterni, verifiche di conformità ISO (27001, 9001, 22301), controlli presso punti vendita e sedi operative, verifiche BSA (Business Software Alliance). In questi contesti, l’uso di software senza licenza può comportare sospensione delle certificazioni, penalizzazione nei bandi di gara, perdita della conformità GDPR (l’art. 32 impone l’uso di software supportato e lecito), danni reputazionali spesso più gravi della sanzione economica.

In Italia, gli amministratori IT e i DPO sono responsabili della liceità del software installato. Utilizzare sistemi come TSForge o KMS non autorizzati può esporre a responsabilità diretta per negligenza professionale, al licenziamento per giusta causa, a possibili contestazioni per danno erariale nella PA. Gli amministratori non possono invocare “scarsa conoscenza tecnica”: la normativa presume competenza specifica.

Infine, ciò che determina la legalità non è l’attivazione, ma la documentazione di licenza: fattura d’acquisto, contratto Open Value / CSP, licenza OEM con COA associata al PC, licenze digitali associate all’account Microsoft. Senza titolo di licenza, anche un sistema perfettamente “attivato” è considerato illegale.