WireGuard bloccato su Windows: quando un account Microsoft ferma gli aggiornamenti

Dopo aver messo al tappeto lo sviluppo di VeraCrypt su Windows, Microsoft chiude anche l’account sviluppatore legato al progetto WireGuard. Come spiega Jason A. Donenfeld (conosciuto online come zx2c4), creatore e principale sviluppatore di WireGuard, un moderno protocollo VPN open source noto per essere estremamente veloce, semplice e sicuro, la sospensione del suo account posta in essere a Redmond ha impedito la distribuzione di aggiornamenti ufficiali e mettere seriamente a rischio il futuro dell’iniziativa.

Vale la pena evidenziare che WireGuard è addirittura entrato nel kernel Linux dalla versione 5.6 ed è diventato uno standard de facto, mentre oggi Microsoft dà un calcio sonoro al medesimo progetto in ambiente Windows.

Account sospeso e aggiornamenti bloccati: il racconto dello sviluppatore WireGuard

L’autore di WireGuard ha descritto la situazione con toni diretti, chiarendo che il progetto ha già pronti aggiornamenti importanti per Windows: si tratta del primo rilascio dopo quasi 4 anni, con miglioramenti concreti che includono aggiornamento della toolchain, correzione di bug e nuove funzionalità. Il blocco non dipende quindi da limiti tecnici, ma da un problema amministrativo legato all’account sviluppatore.

Durante il tentativo di firmare il driver WireGuardNT, passaggio obbligato per qualsiasi componente kernel-mode, è comparso un messaggio generico di sospensione dell’account lato Microsoft.

Analizzando la causa, emerge un cambio nelle policy di verifica dell’identità da parte di Microsoft: l’account sarebbe stato sospeso per mancata verifica, senza alcuna notifica preventiva. Dopo aver completato immediatamente la procedura di verifica tramite documento, lo sviluppatore si è trovato davanti a un ulteriore ostacolo: per presentare ricorso serve aprire un ticket di supporto, ma l’accesso al supporto richiede un account attivo. Donenfeld  ha aggirato il problema tramite il portale Azure, reindirizzando manualmente la richiesta al dipartimento Microsoft corretto.

Il nodo più critico riguarda però i tempi: Microsoft ha indicato una finestra fino a 60 giorni per la revisione del ricorso. Un intervallo incompatibile con la gestione della sicurezza software, soprattutto per componenti a basso livello.

Lo sviluppatore ha avanzato una considerazione concreta: se esistesse una vulnerabilità a livello ring 0, cioè nel livello più privilegiato del sistema operativo dove il codice ha accesso completo all’hardware e questa fosse sfruttabile attivamente, l’impossibilità di distribuire rapidamente una correzione (patch) esporrebbe gli utenti a rischi significativi. Anche se al momento non sono note vulnerabilità di questo tipo, l’eventualità ventilata mette in luce una debolezza evidente nel processo di aggiornamento del sistema.

L’appello ai dirigenti Microsoft

La riflessione del principale sviluppatore di WireGuard punta sulla natura burocratica del problema: non una scelta tecnica, ma un processo amministrativo che sfugge al controllo degli sviluppatori.

L’autore sottolinea come la situazione non sia vantaggiosa nemmeno per Microsoft, considerando che gli utenti WireGuard coincidono con utenti Windows. Da qui l’appello diretto ai dipendenti dell’azienda affinché intervengano per ridurre i tempi di sblocco e ripristinare il normale flusso di rilascio degli aggiornamenti software.

La vicenda mette in luce una fragilità poco discussa: la dipendenza del lavoro di tanti sviluppatori, compresi i progetti open source di primo piano, da infrastrutture centralizzate e account gestiti da terze parti.

Il blocco dell’account e le implicazioni immediate

Scendendo più nel dettaglio, il problema lamentato da Donenfeld – e prima ancora da Mounir Idrassi, sviluppatore di VeraCrypt – coinvolge direttamente il processo di firma digitale e distribuzione dei binari. Senza accesso all’account Microsoft, infatti, gli sviluppatori di WireGuard e VeraCrypt non possono utilizzare i certificati necessari per firmare il codice, requisito indispensabile per evitare avvisi di sicurezza su Windows.

Il client Windows di WireGuard utilizza un driver kernel-mode, distribuito come componente firmato secondo le policy Microsoft. La firma del codice, ottenuta tramite certificati EV (Extended Validation, certificati digitali con verifica rafforzata dell’identità dello sviluppatore) e collegata al servizio Windows Hardware Developer Program, assicura che il driver sia caricato dal sistema senza limitazioni. Di conseguenza, il blocco dell’account non impedisce solo la pubblicazione del driver, ma anche la possibilità di generare versioni del software (build) che rispettino i requisiti di sicurezza richiesti dal sistema operativo.

Il ruolo della “catena di fiducia” per i progetti open source

Anche progetti i open source, pur mantenendo codice pubblico e verificabile, devono spesso affidarsi a servizi proprietari per compilazione, firma e distribuzione. Nel caso di Windows, il processo di sicurezza si basa su una catena di fiducia (cioè una sequenza di controlli che garantiscono l’autenticità e l’integrità del software) che dipende interamente da Microsoft, la quale gestisce i certificati digitali (utilizzati per identificare in modo sicuro chi sviluppa il software), la notarizzazione (una verifica ufficiale che il software non sia stato alterato) e la validazione dei driver (controlli che assicurano che i componenti software comunicanti con l’hardware siano affidabili e sicuri).

Il meccanismo di code signing rappresenta una misura di sicurezza fondamentale, ma introduce un singolo punto di controllo. Se l’accesso è revocato o sospeso, come nel caso di WireGuard e VeraCrypt, l’intero processo di rilascio si interrompe. Non esistono alternative immediate: distribuire binari non firmati comporta avvisi critici o il blocco dell’installazione, soprattutto nei sistemi con Secure Boot attivo.

WireGuard per Windows: architettura e distribuzione

Il client WireGuard per Windows si basa su un’architettura composta da più livelli: un driver kernel-mode per la gestione del traffico cifrato, un servizio di sistema e un’interfaccia utente.

Il driver utilizza primitive crittografiche moderne, come Curve25519 per lo scambio delle chiavi e ChaCha20 per la cifratura, progettate per garantire alte prestazioni anche su hardware non accelerato.

La distribuzione ufficiale avviene tramite pacchetti MSI firmati e aggiornamenti pubblicati sul sito del progetto. In ambienti aziendali, l’installazione automatizzata si basa su criteri di sicurezza che richiedono firme valide e certificati riconosciuti. L’impossibilità di aggiornare il software espone gli utenti a potenziali vulnerabilità non patchate, soprattutto se emergono bug nel driver o nel servizio di rete.

La vicenda che sta interessando sia WireGuard che VeraCrypt dimostra come la sicurezza del software non dipenda solo dalla qualità del codice, ma anche dall’affidabilità della catena di distribuzione.