Microsoft conferma: il blocco dei driver vulnerabili rompe i backup di aprile

Il rilascio delle patch di sicurezza di aprile 2026 per Windows ha introdotto una complicazione non indifferente per gli utenti e gli amministratori che si affidano a soluzioni di backup di terze parti.

Microsoft ha confermato ufficialmente che l'installazione degli ultimi aggiornamenti sta causando fallimenti sistematici nelle operazioni di backup, in particolare per quei software che utilizzano il driver kernel psmounterex.sys. Il problema si manifesta con l'impossibilità di montare i file immagine come unità virtuali, rendendo di fatto inaccessibili le procedure di browsing e ripristino dei dati precedentemente salvati.

L'origine del malfunzionamento è in realtà una scelta deliberata di sicurezza. Redmond ha infatti inserito il driver incriminato nella Vulnerable Driver Blocklist, una misura di hardening necessaria per mitigare la vulnerabilità CVE-2023-43896. Quest'ultima è un difetto di sicurezza di tipo buffer overflow ad alta gravità che permetterebbe a malintenzionati di ottenere un'escalation dei privilegi o di eseguire codice arbitrario sul sistema vittima. La protezione ha creato un conflitto immediato con la catena di montaggio del Volume Shadow Copy Service (VSS).

Problemi con i backup su Windows dopo gli aggiornamenti di aprile

L'elenco dei prodotti coinvolti è piuttosto esteso e tocca soluzioni popolari sia in ambito consumer che enterprise. Tra i nomi confermati figurano Macrium Reflect, Acronis Cyber Protect Cloud, UrBackup Server e NinjaOne Backup. Il comportamento anomalo è stato rilevato su un ampio spettro di versioni del sistema operativo, includendo Windows 11, Windows 10 e le varie edizioni di Windows Server.

Dal punto di vista operativo, gli utenti potrebbero trovarsi di fronte a una situazione ambigua: la creazione di backup completi (full image) può talvolta andare a buon fine, ma il problema emerge durante la fase di gestione degli snapshot. I messaggi di errore tipici riportano un timeout del servizio Microsoft VSS durante la creazione dello snapshot o lo stato di errore VSS_E_BAD_STATE. In sostanza, l'integrità del codice di Windows impedisce il caricamento del driver vulnerabile, bloccando la comunicazione necessaria tra il software di backup e l'hardware virtuale.

Per gli IT admin che devono diagnosticare se il fallimento sia effettivamente imputabile alla nuova policy di Microsoft, è disponibile una traccia specifica nei log di sistema. È necessario consultare il Visualizzatore Eventi (Event Viewer) seguendo il percorso Registri applicazioni e servizi > Microsoft > Windows > CodeIntegrity > Operational. La prova definitiva del blocco è la presenza dell'Event ID 3077, accompagnato dal Policy ID {D2BDA982-CCF6-4344-AC5B-0B44427B6816}. Questo evento indica esplicitamente che il driver psmounterex.sys è stato respinto in modalità di enforcement.

Microsoft ha assunto una posizione molto ferma sulla questione, sconsigliando caldamente di disinstallare o sospendere gli aggiornamenti di sicurezza di aprile per ripristinare le funzionalità di backup. La raccomandazione ufficiale è di procedere all'aggiornamento dei software di backup alle versioni più recenti rilasciate dai rispettivi vendor, le quali dovrebbero integrare driver corretti e conformi alle nuove direttive di sicurezza.

Oltre ai problemi legati al VSS, la distribuzione delle patch di aprile ha portato con sé altre criticità, come il boot forzato in modalità di recupero BitLocker per alcuni dispositivi Windows Server 2025 (KB5082063) e precedenti loop di riavvio su altri sistemi server, risolti solo tramite rilasci fuori banda (OOB).