/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/05/macrium-reflect-blocco-driver-kernel-windows-11.jpg "Windows 11 blocca app come Macrium dopo update: il trucco nel registro per aggirare il problema")
Un aggiornamento di sicurezza può cambiare in modo silenzioso il comportamento del sistema operativo, soprattutto quando entra in gioco il kernel. È quanto accaduto con le recenti patch cumulative per Windows 11, identificate come KB5083769 e KB5083631, che hanno introdotto un blocco inatteso per alcuni software di backup ampiamente utilizzati.
Microsoft porta avanti da anni un rafforzamento della protezione a livello kernel, in particolare dopo una lunga serie di attacchi che hanno sfruttato driver legittimi ma vulnerabili. Secondo i dati condivisi negli ultimi report sulla sicurezza di Windows, una quota crescente di exploit moderni sfrutta proprio componenti firmati per aggirare i controlli del sistema.
In questo scenario si inserisce la decisione di bloccare specifici driver attraverso una lista interna di componenti ritenuti rischiosi. Il risultato, però, ha avuto un impatto concreto su software diffusi come Macrium Reflect, utilizzato da anni in ambito professionale per il backup e le attività di disaster recovery.
Driver kernel e sicurezza: perché Microsoft ha deciso di intervenire
Il problema emerso in questi giorni riguarda un driver ben preciso: psmounterex.sys: è un componente che opera a livello kernel e consente al software di backup di montare immagini disco come unità virtuali. Permette cioè di esplorare un backup come se fosse un’unità di memorizzazione fisica collegata al sistema.
Una funzione utile, quasi indispensabile in ambienti tecnici: il fatto è che questo tipo di accesso richiede privilegi elevati. Quando un driver opera in modalità kernel, può interagire direttamente con la memoria e con le strutture più sensibili del sistema operativo. Se presenta vulnerabilità, diventa un potenziale vettore di attacco.
Microsoft mantiene da tempo una vulnerable driver blocklist, una lista di driver noti per essere sfruttabili dagli aggressori al fine di eseguire codice arbitrario a livello kernel. Con gli aggiornamenti recenti, il sistema ha iniziato a bloccare automaticamente quelli presenti nell’elenco, anche se firmati digitalmente. È una misura coerente con l’evoluzione della sicurezza Windows, che punta a ridurre l’abuso dei cosiddetti “driver legittimi ma vulnerabili”.
L’impatto concreto su Macrium Reflect
Chi utilizza Macrium Reflect si è accorto subito del problema: impossibilità di montare le immagini di backup. Il software continua a funzionare per la creazione dei backup, ma perde una delle funzionalità più utilizzate.
La vulnerabilità associata al driver era già nota, identificata come CVE-2023-43896, e Macrium aveva già rilasciato una patch per mitigare il rischio. Nonostante ciò, Windows continua a bloccare il driver, perché la blocklist si basa su identificatori statici e non sempre distingue tra versioni aggiornate e vulnerabili.
Secondo quanto emerso dai forum tecnici e dalle comunicazioni del supporto Macrium, il problema colpisce in particolare la versione 8.1 del software. La versione più recente, la 10, utilizza un approccio differente e non dipende più da psmounterex.sys per il montaggio delle immagini.
La modifica nel registro di sistema che aggira il blocco dei driver in Windows
Per ripristinare la funzionalità di backup “persa”, relativa al montaggio delle immagini di backup, si può disabilitare temporaneamente la lista di blocco Microsoft che disattiva in automatico i driver vulnerabili.
Basta aprire il prompt dei comandi con i diritti di amministratore quindi impartire il comando seguente:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\CI\Config" /v VulnerableDriverBlocklistEnable /t REG_DWORD /d 0 /f
Disattivare questo controllo significa tuttavia riaprire una superficie di attacco che Microsoft ha esplicitamente deciso di chiudere. Non si tratta solo del driver di Macrium: l’intervento sul registro di sistema e il successivo riavvio del sistema, fa sì che tutta la protezione basata sulla blocklist sia automaticamente disabilitata.
Chi sceglie questa strada dovrebbe considerarla temporanea, limitata a operazioni specifiche e seguita da un ripristino della configurazione originale. In ambienti aziendali o su sistemi esposti, è una scelta che richiede un’attenta valutazione. Per ripristinare la configurazione di default, è sufficiente impartire il comando che segue:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\CI\Config" /v VulnerableDriverBlocklistEnable /t REG_DWORD /d 1 /f
Una questione più ampia: sicurezza contro compatibilità
Da un lato, Microsoft spinge verso un modello di sicurezza sempre più restrittivo, soprattutto a livello kernel. Dall’altro, esiste un vasto parco software che si basa proprio su meccanismi legati al kernel del sistema operativo per offrire funzionalità avanzate.
Molte applicazioni legacy utilizzano driver sviluppati anni fa, quando i requisiti di sicurezza erano diversi: bloccarli migliora la protezione generale, ma può interrompere flussi di lavoro consolidati.
Una possibile direzione futura è quella già intrapresa da alcuni vendor: ridurre la dipendenza dai driver kernel o adottare modelli più moderni, come l’uso di API documentate e isolate. Non sempre però è possibile farlo senza sacrificare prestazioni o funzionalità.
/https://www.ilsoftware.it/app/uploads/2026/05/finestra-esegui-windows-11-novita.jpg "Windows 11 riscrive la finestra Esegui: cosa cambia davvero dopo 30 anni")
/https://www.ilsoftware.it/app/uploads/2026/04/windows-11-ritorno-app-native.jpg "Windows 11 punta sulle app native e mette alla porta le Web app: ecco il motivo")
/https://www.ilsoftware.it/app/uploads/2023/08/policy-windows-11-aggiornamenti-facoltativi.jpg "KB5083631: Windows migliora prestazioni e stabilità")
/https://www.ilsoftware.it/app/uploads/2025/05/aggiornamenti-windows-orchestratore-microsoft.jpg "Windows 11, update mensili da 5 GB: cos'è cambiato")