La fine di maggio 2026 ha portato due avvisi importanti che coinvolgono sia gli amministratori di sistemi Windows sia i team di sviluppo software. Da una parte Microsoft ha corretto un problema critico che impediva l’installazione dell’aggiornamento di sicurezza KB5089549 su numerosi dispositivi Windows 11, lasciandoli temporaneamente privi delle ultime protezioni. Dall’altra, la Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato un allarme urgente relativo a due campagne di supply chain attack che colpiscono direttamente strumenti utilizzati dagli sviluppatori, tra cui l’estensione Nx Console per Visual Studio Code e numerosi repository ospitati su GitHub. Le due vicende riguardano ambiti differenti ma condividono un elemento fondamentale: la necessità di intervenire rapidamente per evitare che problemi tecnici o compromissioni software creino finestre di esposizione sfruttabili dagli attaccanti. In entrambi i casi, l’azione tempestiva rappresenta il fattore decisivo per mantenere la sicurezza delle infrastrutture IT e delle pipeline di sviluppo.
Cosa leggere
KB5089549 falliva durante l’installazione su Windows 11
L’aggiornamento KB5089549 costituisce il pacchetto di sicurezza distribuito da Microsoft nel ciclo mensile di maggio 2026 per Windows 11. Poco dopo il rilascio, numerosi utenti hanno segnalato il fallimento dell’installazione con il codice di errore 0x800f0922. L’anomalia colpiva principalmente sistemi dotati di una partizione EFI System Partition (ESP) con uno spazio libero pari o inferiore a 10 MB. Durante la procedura di aggiornamento il sistema completava correttamente le fasi iniziali ma si bloccava durante il riavvio, generalmente attorno al 35-36% del processo. A quel punto Windows mostrava il messaggio “Something didn’t go as planned. Undoing changes”, avviando automaticamente il rollback delle modifiche. Nei log di sistema comparivano riferimenti a SpaceCheck e ServicingBootFiles failed, indicatori chiari di una mancanza di spazio sufficiente nella partizione dedicata all’avvio del sistema operativo. Sebbene il rollback preservasse la stabilità della macchina, lasciava il dispositivo privo delle ultime correzioni di sicurezza, prolungando il periodo di esposizione a vulnerabilità note.
Microsoft interviene con KB5089573
Dopo aver riconosciuto ufficialmente il problema, Microsoft ha distribuito la correzione all’interno dell’aggiornamento cumulativo preview KB5089573, pubblicato il 26 maggio 2026. Il nuovo pacchetto introduce miglioramenti di stabilità, affidabilità e prestazioni, ma soprattutto elimina definitivamente il problema legato allo spazio insufficiente nella partizione EFI. Gli utenti che installano KB5089573 o gli aggiornamenti successivi non devono applicare workaround aggiuntivi. Microsoft ha inoltre confermato che la correzione verrà inclusa anche nei successivi Patch Tuesday, garantendo una distribuzione più ampia attraverso i normali canali di aggiornamento. L’azienda raccomanda di procedere all’installazione il prima possibile poiché l’aggiornamento contiene non soltanto la correzione del bug ma anche importanti fix di sicurezza che proteggono il sistema operativo da minacce emergenti. La soluzione definitiva elimina la necessità di interventi manuali sulla partizione EFI, semplificando il processo di aggiornamento soprattutto negli ambienti enterprise.
Known Issue Rollback aiuta chi non può aggiornare subito
Per gli utenti e le organizzazioni impossibilitati a installare immediatamente KB5089573, Microsoft ha reso disponibile il meccanismo Known Issue Rollback (KIR). Questa funzionalità consente di disattivare automaticamente la modifica problematica introdotta dall’aggiornamento e ripristinare il comportamento precedente del sistema. Negli ambienti aziendali il rollback può essere distribuito tramite Group Policy utilizzando il pacchetto dedicato Windows 11 24H2, Windows 11 25H2 e Windows Server 2025 KB5089549 Known Issue Rollback. Gli amministratori possono così mitigare rapidamente il problema su grandi flotte di dispositivi senza attendere la distribuzione completa dell’aggiornamento correttivo. Il workaround resta comunque una soluzione temporanea. Microsoft continua infatti a raccomandare l’adozione del fix definitivo attraverso gli aggiornamenti cumulativi successivi. La vicenda dimostra ancora una volta quanto una componente apparentemente marginale come la partizione EFI possa diventare un punto critico nell’affidabilità del processo di aggiornamento di Windows.
CISA lancia un allarme urgente su Nx Console
Parallelamente alle problematiche legate a Windows, la CISA ha pubblicato un avviso che coinvolge direttamente il mondo dello sviluppo software. L’agenzia americana ha attribuito la massima priorità a una campagna che sfrutta una versione compromessa dell’estensione Nx Console per Visual Studio Code. L’attacco trae origine da una compromissione precedente dell’infrastruttura di sviluppo di Nx, successivamente utilizzata per distribuire la versione malevola 18.95.0 tramite il normale meccanismo di aggiornamento automatico di VS Code. Una volta installata, l’estensione consente agli attaccanti di ottenere accesso non autorizzato ai sistemi utilizzati dagli sviluppatori e di esfiltrare repository, codice sorgente e informazioni sensibili. La gravità dell’incidente ha portato all’assegnazione dell’identificativo CVE-2026-48027 e all’inserimento della minaccia nel catalogo Known Exploited Vulnerabilities (KEV) della CISA. Questo significa che l’agenzia considera la vulnerabilità attivamente sfruttata e particolarmente pericolosa per organizzazioni pubbliche e private.
Megalodon colpisce le pipeline GitHub
Il secondo attacco evidenziato dalla CISA prende il nome di Megalodon e sfrutta una tecnica diversa ma altrettanto insidiosa. Gli attaccanti compromettono repository GitHub inserendo workflow GitHub Actions malevoli all’interno delle pipeline di integrazione continua. Una volta eseguiti, questi workflow raccolgono e trasmettono all’esterno segreti CI/CD, credenziali cloud, token di autenticazione e altre informazioni critiche utilizzate nei processi di sviluppo. La particolarità della campagna consiste nell’utilizzo di account automatizzati apparentemente legittimi come build-bot, auto-ci, ci-bot e pipeline-bot, che effettuano commit diretti o aprono pull request contenenti il codice dannoso. Questo approccio consente agli aggressori di nascondersi all’interno dei normali flussi operativi delle organizzazioni, rendendo molto più difficile individuare l’attività malevola prima che i workflow vengano eseguiti. L’attacco dimostra ancora una volta come le pipeline DevOps rappresentino uno degli obiettivi più redditizi per chi cerca accesso a infrastrutture cloud e ambienti di sviluppo.
Le azioni richieste dalla CISA sono immediate
La risposta raccomandata dalla CISA non lascia spazio a interpretazioni. Le organizzazioni devono monitorare immediatamente tutti i file workflow presenti nei repository, verificare i commit effettuati dopo il 18 maggio 2026 e controllare attentamente le attività provenienti da account automatizzati. In presenza di modifiche sospette è necessario annullare rapidamente i cambiamenti non autorizzati ed eseguire un’analisi forense completa delle pipeline coinvolte. Ancora più importante è la rotazione immediata di tutti i segreti potenzialmente esposti. L’elenco comprende token API, credenziali cloud, chiavi SSH, accessi Docker, credenziali npm, PyPI, Terraform, Vault, Kubernetes e token associati a piattaforme come GitHub, GitLab e Bitbucket. Secondo la CISA, qualsiasi credenziale accessibile alle pipeline compromesse deve essere considerata esposta e sostituita senza ritardi. L’agenzia invita inoltre a utilizzare esclusivamente versioni software verificate e a evitare installazioni automatiche di componenti non controllati.
Endpoint e supply chain diventano due fronti della stessa battaglia
Le vicende che coinvolgono KB5089549, Nx Console e Megalodon mostrano come la sicurezza moderna debba essere affrontata contemporaneamente su più livelli. Da una parte gli aggiornamenti di sistema devono essere installati correttamente per garantire la protezione degli endpoint Windows. Dall’altra, l’integrità delle dipendenze software e delle pipeline DevOps deve essere verificata costantemente per evitare compromissioni lungo la catena di fornitura. La compromissione di Nx Console dimostra che anche strumenti largamente utilizzati dagli sviluppatori possono trasformarsi in vettori di attacco. La campagna Megalodon evidenzia invece come i repository e le pipeline CI/CD siano diventati bersagli strategici per il furto di credenziali e l’accesso a infrastrutture cloud. Le organizzazioni non possono più considerare endpoint e supply chain come problemi separati: la compromissione di uno dei due livelli può rapidamente propagarsi all’intero ecosistema aziendale.
Microsoft e CISA evidenziano la nuova realtà della sicurezza IT
L’intervento di Microsoft e l’allerta della CISA arrivano in un momento in cui la superficie d’attacco delle organizzazioni continua ad ampliarsi. Gli endpoint devono ricevere rapidamente gli aggiornamenti correttivi per evitare finestre di esposizione, mentre i team DevOps, SecOps e IT devono verificare continuamente l’integrità delle dipendenze software utilizzate nei processi di sviluppo. Il caso KB5089549 ricorda quanto sia importante la stabilità del meccanismo di aggiornamento, mentre Nx Console e Megalodon confermano che la software supply chain resta uno dei principali obiettivi dei gruppi criminali e degli attori avanzati. In questo contesto, pratiche come version pinning, verifica delle estensioni, monitoraggio delle pipeline, auditing dei repository e rotazione periodica delle credenziali non rappresentano più semplici best practice ma requisiti essenziali per la sicurezza operativa. La combinazione tra aggiornamenti affidabili e controllo rigoroso della supply chain rimane oggi una delle difese più efficaci contro minacce sempre più sofisticate.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
