Microsoft Defender for Endpoint ha generato falsi allarmi su SQL Server 2017 e 2019, identificandoli come prodotti “end-of-life”, nonostante entrambi restino ufficialmente supportati. L’errore, riconosciuto dall’azienda come derivante da un codice difettoso introdotto in un aggiornamento recente, ha coinvolto numerose organizzazioni enterprise, provocando confusione nei report di vulnerabilità. Parallelamente, CISA ha aggiornato il proprio Known Exploited Vulnerabilities Catalog e pubblicato nuovi advisory ICS su sistemi industriali, mentre Microsoft ha annunciato la disponibilità generale di Windows Backup per ambienti aziendali, uno strumento progettato per semplificare migrazioni e ripristini.
Cosa leggere
Errore in Microsoft Defender su SQL Server
Il problema ha interessato tutte le installazioni monitorate da Defender for Endpoint, che ha segnalato SQL Server 2017 e 2019 come “fuori supporto”. In realtà, SQL Server 2019 gode di supporto esteso fino a gennaio 2030, mentre SQL Server 2017 rimarrà coperto fino a ottobre 2027. Microsoft ha comunicato tramite il Microsoft 365 Admin Center l’avvio del rollout di una correzione automatica, che rimuove l’etichettatura errata e ripristina i parametri corretti nel modulo Threat and Vulnerability Management. L’azienda ha chiarito che non sono richieste azioni manuali e che l’incidente non comporta rischi per la sicurezza o perdita di dati. L’errore è stato classificato come un advisory a basso impatto, ma ha sollevato preoccupazioni tra gli amministratori IT per la crescente frequenza di falsi positivi in Defender, dopo episodi simili legati a firmware Dell e segnalazioni BIOS anomale. Gli esperti sottolineano come questi incidenti evidenzino la necessità di validare manualmente gli alert automatici, incrociandoli con la documentazione ufficiale. Microsoft ha assicurato che sta rafforzando i processi di verifica del codice e migliorando i controlli qualità per ridurre la ricorrenza di bug nei propri strumenti di sicurezza enterprise.
Aggiornamenti CISA: nuova vulnerabilità nel catalogo KEV
Nel frattempo, la Cybersecurity and Infrastructure Security Agency (CISA) ha aggiornato il proprio Known Exploited Vulnerabilities Catalog (KEV) con una nuova voce basata su evidenze di sfruttamento attivo nel mondo enterprise federale.
CVE-2021-43798 Grafana Path Traversal Vulnerability
L’agenzia ha ricordato che, in base alla Binding Operational Directive 22-01, tutte le agenzie federali FCEB devono correggere le vulnerabilità incluse nel KEV entro le scadenze previste, per ridurre l’esposizione a minacce note. La direttiva, introdotta nel 2022, impone alle organizzazioni di dare priorità alle vulnerabilità realmente sfruttate rispetto a quelle solo teoriche. Oltre alle agenzie federali, CISA incoraggia anche enti pubblici e privati a consultare regolarmente il catalogo KEV come parte delle proprie politiche di gestione delle vulnerabilità. L’obiettivo è rafforzare una postura di sicurezza proattiva e coordinata a livello nazionale, riducendo il tempo medio di remediation.
Advisory ICS su sistemi industriali
CISA ha inoltre pubblicato quattro nuovi advisory dedicati ai sistemi di controllo industriale (ICS), che coinvolgono prodotti di Hitachi Energy, Rockwell Automation e Mitsubishi Electric. Gli avvisi, diffusi il 9 ottobre 2025, contengono analisi tecniche dettagliate, vettori di attacco e misure di mitigazione per vulnerabilità che potrebbero essere sfruttate in ambienti industriali critici.
- ICSA-25-282-01 Hitachi Energy Asset Suite
- ICSA-25-282-02 Rockwell Automation Lifecycle Services with Cisco
- ICSA-25-282-03 Rockwell Automation Stratix
- ICSA-25-128-03 Mitsubishi Electric Multiple FA Products (Update A)
In particolare, le falle documentate riguardano moduli software e componenti hardware utilizzati in reti energetiche, automazione industriale e infrastrutture OT. CISA invita le organizzazioni a segmentare le reti, implementare politiche di least privilege e applicare patch non appena disponibili. L’agenzia sottolinea come la condivisione tempestiva delle informazioni tra vendor, operatori ICS e autorità di sicurezza sia essenziale per prevenire attacchi a catena di fornitura e salvaguardare le infrastrutture critiche nazionali.
Windows Backup: lo strumento enterprise per migrazioni fluide
Nello stesso contesto, Microsoft ha reso disponibile Windows Backup per organizzazioni, un nuovo servizio pensato per semplificare il passaggio a Windows 11 e garantire continuità operativa nelle flotte aziendali. Annunciato a Ignite 2024 e testato in anteprima dal maggio 2025, Windows Backup consente di salvare impostazioni, app e preferenze utente in modo sicuro su Exchange Online, con crittografia multilivello e conservazione dei dati nel perimetro geografico del tenant. L’attivazione avviene in modalità opt-in, configurabile tramite policy Intune e integrata nativamente con Microsoft Entra e Microsoft 365, in modo da facilitare backup e restore automatizzati durante upgrade o sostituzioni di dispositivi. La soluzione è progettata per ridurre tempi di migrazione e downtime, offrendo alle imprese uno strumento di backup interno che elimina la necessità di software terzi. Microsoft garantisce inoltre privacy dei dati e accesso limitato ai servizi contrattuali, in linea con i requisiti di compliance aziendale.
Un ecosistema in convergenza tra sicurezza e resilienza
Le tre notizie evidenziano una fase di forte integrazione tra sicurezza, gestione e continuità operativa nell’ecosistema enterprise Microsoft. Da un lato, l’errore in Defender mette in luce la fragilità degli automatismi nel threat management; dall’altro, CISA continua a rafforzare il quadro normativo e operativo della sicurezza nazionale, mentre Windows Backup rappresenta un tassello chiave nella strategia di resilienza digitale di Redmond. La direzione è chiara: consolidare strumenti nativi, integrare processi cloud-first e garantire reattività contro le minacce reali, in un contesto in cui l’affidabilità operativa diventa parte integrante della sicurezza informatica.
