Perché evitare di installare subito le patch Microsoft e quando va fatto

Dalla “notte dei tempi” Microsoft rilascia aggiornamenti ufficiali per la sicurezza dei suoi sistemi operativi e delle sue applicazioni il secondo martedì di ogni mese.
Il suggerimento, tranne per alcune eccezioni, è attendere almeno una o due settimane prima di procedere con l’installazione delle patch Microsoft, soprattutto a livello server. Non è piacevole per un amministratore di sistema ritrovarsi con una macchina gestita in modalità remota che diventa improvvisamente instabile o, nei casi peggiori, non si avvia più in modo corretto.

Come abbiamo spiegato nell’articolo Windows Update: come gestire gli aggiornamenti, l’installazione delle patch Microsoft non dovrebbe mai prescindere da una loro attenta analisi verificando quali problematiche vengono di volta in volta risolte.

Purtroppo, da qualche tempo a questa parte, Microsoft rilascia aggiornamenti cumulativi (peraltro piuttosto pesanti) che non permettono all’amministratore così come ai normali utenti finali di scegliere quali patch installare nell’immediato. È quindi bene annotarsi l’identificativo CVE degli aggiornamenti più problematici e consultare questo URL Microsoft aggiungendo dopo /advisory/ il codice CVE precedentemente desunto.

Sia su server che su workstation e PC dei normali utenti, suggeriamo di impostare il sistema operativo affinché Windows notifichi la disponibilità di eventuali nuovi aggiornamenti ma non ne effettui né il download né tanto meno l’installazione.

Ciò che non tutti sanno è che è possibile impostare anche Windows 10 in modo tale che si limiti a notificare la presenza degli aggiornamenti Microsoft. La procedura da applicare è illustrata nell’articolo Come disattivare gli aggiornamenti automatici in Windows 10.

Una volta che nelle settimane successive al rilascio degli aggiornamenti Microsoft non saranno emersi problemi, si potrà procedere con l’aggiornamento. Fanno ovviamente eccezione le patch per la correzione di vulnerabilità wormable come Bluekeep: Vulnerabilità in Desktop remoto, Microsoft rinnova l’invito a installare gli aggiornamenti.

È ovvio è in generale conta molto la superficie di attacco: se un server è protetto mediante firewall e non espone alcuna porta sulla quale sono in ascolto servizi potenzialmente vulnerabili (si pensi a Desktop remoto), l’applicazione delle patch può essere comunque rimandata. Se invece gli utenti collegati alla rete locale sono soliti aprire con la suite Office documenti provenienti da sorgenti inaffidabili (comportamento sconsiderato), è fondamentale scaricare e installare le patch destinate al software per l’ufficio di casa Microsoft.

Va comunque ricordato che il seme del “falso senso di sicurezza” è quanto di più sbagliato si possa piantare. Ciò che secondo noi è fondamentale, è che gli utenti – a qualsiasi livello – siano consapevoli delle vulnerabilità note presenti nei loro software e che a livello aziendale si lavori sempre di più sui temi vulnerability scanning, vulnerability management e vulnerability assessment.