Bug su BitLocker: fix solo per Windows 11. Ancora niente su Windows 10 e Server

Microsoft ha finalmente iniziato a dirimere la matassa relativa ai malfunzionamenti di BitLocker, sebbene la soluzione non sia ancora universale. Il problema, emerso prepotentemente dopo il rilascio degli aggiornamenti di sicurezza di aprile 2026, costringeva diversi sistemi a riavviarsi direttamente nella schermata di ripristino della crittografia, bloccando l'accesso ai dati in assenza della chiave di sblocco manuale.

Con il rilascio dell'aggiornamento cumulativo KB5089549, l'azienda di Redmond ha corretto l'anomalia, limitando però l'intervento ai soli sistemi Windows 11 25H2. Il bug si manifestava principalmente su macchine con configurazioni delle Group Policy definite come non raccomandate, in particolare quelle relative alla convalida del profilo della piattaforma TPM (Trusted Platform Module). Il nodo della questione riguarda i registri PCR7 (Platform Configuration Register 7) e le impostazioni del firmware UEFI nativo. Quando l'aggiornamento di aprile (identificato dalla sigla KB5083769) andava a modificare i file di avvio, il sistema rilevava una variazione non autorizzata nella catena di fiducia, innescando per sicurezza il blocco BitLocker.

Windows 10 e Server ancora in attesa del fix definitivo

Sebbene la telemetria di Microsoft indichi che i dispositivi consumer siano meno soggetti a questo rischio, il mondo enterprise è quello che ha pagato il prezzo più alto, data la complessità delle policy di sicurezza gestite dai team IT.

Se gli utenti dell'ultima versione di Windows 11 possono tirare un sospiro di sollievo, lo stesso non si può dire per chi amministra macchine Windows 10 o Windows Server. Per queste piattaforme, il problema persiste e una risoluzione permanente verrà integrata solo in un prossimo aggiornamento non ancora meglio specificato. In questa fase di transizione, i sistemisti devono affidarsi a un workaround manuale (consigliato ufficialmente dalla documentazione di supporto) che prevede la rimozione della policy "Configura profilo di convalida piattaforma TPM per configurazioni firmware UEFI native" prima di procedere con l'installazione delle patch incriminate.

Non è la prima volta che BitLocker finisce sotto i riflettori per motivi simili. La cronologia delle release Microsoft è costellata di incidenti analoghi, come accaduto nel 2022 con il pacchetto KB5012170, o più recentemente nel 2024 e 2025, quando furono necessari aggiornamenti fuori banda (out-of-band) per sbloccare i PC Windows 10 rimasti in loop sulla richiesta della chiave di cifratura.

L'attuale intervento correttivo è avvenuto nel più ampio contesto del Patch Tuesday di maggio 2026, una tornata di aggiornamenti particolarmente densa che ha affrontato ben 120 vulnerabilità. Tra queste, 17 falle erano state classificate come critiche, rendendo l'installazione dei nuovi pacchetti quasi obbligatoria per la sicurezza dell'infrastruttura.