Windows 11 migliora Recall e perfeziona Defender, ma c’è il rischio Tycoon2FA

253

Il panorama Windows 11 si evolve rapidamente ad aprile 2025 con nuove build per i canali Dev e Beta del programma Windows Insider, accompagnate dal rilascio progressivo della funzionalità AI più controversa mai introdotta da Microsoft: Windows Recall. La build 26200.5551 per il Dev Channel e la build 26120.3863 per il Beta Channel, entrambe basate sulla versione 24H2, introducono migliorie significative che abbracciano accessibilità, esperienza utente e ottimizzazione dell’interfaccia. Intanto si presenta al pubblico una nuova minaccia informatica rappresentata dal phishing as service Tycoon2FA.

Una delle novità principali riguarda l’introduzione della ricerca semantica nei PC Copilot+, che consente di digitare in linguaggio naturale (“modifica il mio tema”, “impostazioni di sistema”) all’interno della barra di ricerca di Windows per accedere rapidamente alle impostazioni desiderate. L’intelligenza artificiale locale sfrutta i processori NPU con oltre 40 TOPS, permettendo alla funzione di funzionare anche offline, un punto di forza cruciale in scenari professionali o di mobilità.

Parallelamente, viene migliorato l’uso di Narrator, lo strumento integrato per la lettura dello schermo, con la capacità di descrivere con precisione grafici, immagini e dati visivi anche in assenza di alt text. Grazie a una combinazione di visione artificiale e modelli linguistici, Narrator può ora identificare contenuti come “una linea crescente nei prezzi delle azioni Microsoft rispetto all’indice NASDAQ” e leggerli a voce, trasformando l’accessibilità in una vera esperienza cognitiva assistita.

Il rilascio di Windows Recall: tra innovazione e allarme per la privacy

Microsoft ha iniziato a distribuire Windows Recall agli utenti del canale Release Preview, preparando così il terreno al rollout completo sui dispositivi Copilot+. Recall cattura automaticamente schermate delle finestre attive ogni pochi secondi, permettendo agli utenti di cercare qualsiasi testo visualizzato nel passato, attraverso comandi naturali. La funzione, tuttavia, è stata definita da esperti di cybersicurezza come un “incubo per la privacy”.

Per ridurre i rischi, Microsoft ha introdotto importanti modifiche:

• Recall è opt-in, quindi disattivato di default.
• L’accesso richiede l’autenticazione biometrica tramite Windows Hello.
• Le istantanee possono essere cancellate o sospese in qualsiasi momento.
• La tecnologia è in grado di filtrare automaticamente dati sensibili come password, numeri di carta e contenuti privati.

Nonostante questi accorgimenti, il livello di controllo richiesto agli utenti e l’invasività del monitoraggio continuo sollevano interrogativi legittimi sul bilanciamento tra comodità, AI e diritto alla riservatezza digitale.

Tycoon2FA e la nuova ondata di phishing contro Microsoft 365

Mentre Windows espande le sue funzionalità AI, i cybercriminali perfezionano le armi per attaccarlo. È il caso del kit Tycoon2FA, una piattaforma Phishing-as-a-Service progettata per bypassare l’autenticazione a due fattori su account Microsoft 365 e Gmail.

L’ultima versione di Tycoon2FA implementa:

• Caratteri Unicode invisibili per nascondere codice JavaScript malevolo.
• Un sistema CAPTCHA personalizzato e self-hosted, che sostituisce Cloudflare Turnstile, per evitare il rilevamento automatizzato.
• Tecniche anti-debugging per bloccare strumenti di analisi come PhantomJS o Burp Suite.
• Redirect intelligenti verso pagine legittime (come Rakuten) per confondere i filtri antiphishing.

Il kit è ormai impiegato anche per campagne su larga scala basate su allegati SVG camuffati da messaggi vocali di Microsoft Teams. Questi file, quando aperti, attivano codice JavaScript che porta a una falsa schermata di login Microsoft, rubando così credenziali aziendali in modo invisibile e sofisticato.

Microsoft Defender blocca gli attacchi isolando automaticamente gli endpoint sconosciuti

Microsoft ha annunciato una nuova funzione di protezione per la piattaforma Defender for Endpoint, che segna un cambiamento radicale nel modo in cui vengono gestiti i dispositivi all’interno di reti aziendali. A partire dal ciclo di aggiornamenti di aprile, Defender sarà in grado di isolare automaticamente gli endpoint non autorizzati o non riconosciuti dalla rete, interrompendone la connessione fino a nuova autorizzazione.

La logica è semplice ma estremamente efficace: se un dispositivo non risulta nel database degli endpoint autorizzati, oppure non è conforme ai criteri di sicurezza aziendali, Microsoft Defender lo blocca proattivamente per evitare che venga usato come trampolino di lancio per movimenti laterali o distribuzione di malware.

Questo comportamento prevede l’attivazione di:

• un firewall a livello kernel che blocca ogni comunicazione in entrata e in uscita,
• una verifica biometrica o autenticazione MFA forzata per il reintegro,
• una notifica al SOC aziendale tramite Microsoft Sentinel o altri SIEM compatibili.

La funzionalità sarà attivabile tramite il portale Microsoft 365 Defender e rappresenta una delle contromisure più proattive mai introdotte in una suite endpoint di tipo commerciale, pensata per fronteggiare attacchi sempre più sofisticati e mirati a dispositivi BYOD, mobili o temporanei.

Il misterioso folder “inetpub” creato da un aggiornamento: Microsoft invita a non cancellarlo

Tra le novità meno appariscenti ma non meno discusse del mese, molti utenti hanno notato la creazione automatica del folder “C:\inetpub” sui propri sistemi, anche se non hanno mai installato o attivato il componente IIS (Internet Information Services).

Microsoft ha confermato che questa cartella è stata creata intenzionalmente dal cumulative update di aprile 2025, come parte delle correzioni di sicurezza relative alla vulnerabilità CVE-2025-21204. La falla riguarda un problema di link resolution nella Windows Update Stack, potenzialmente sfruttabile da utenti locali con pochi privilegi per ottenere accesso al sistema SYSTEM e manipolare file sensibili.

Il folder inetpub, benché vuoto, svolge una funzione tecnica di protezione, e la sua rimozione potrebbe compromettere la corretta installazione degli aggiornamenti futuri. Microsoft avvisa ufficialmente:

“La directory %systemdrive%\inetpub non deve essere eliminata, indipendentemente dal fatto che IIS sia attivo sul dispositivo.”

Nel caso in cui il folder sia già stato cancellato, Microsoft consiglia di reinstallare e poi disattivare IIS dal pannello “Attivazione e disattivazione delle funzionalità Windows”, in modo da ricreare la cartella con le giuste autorizzazioni.

Un ecosistema Windows sempre più chiuso, predittivo e sicuro

L’intero insieme di novità introdotte nelle ultime settimane — dalla ricerca semantica potenziata su Copilot+ PC, a Recall, passando per le tecniche di isolamento automatico di Defender e il raffinamento delle patch di sicurezza — segnala un chiaro cambiamento nella filosofia progettuale di Microsoft.

Windows non è più solo un sistema operativo: è una piattaforma modulare, predittiva e autosufficiente, capace di:

• apprendere dal contesto locale per adattare l’esperienza utente,
• intervenire attivamente sulla rete per contenere minacce,
• gestire automaticamente patch, rollout e sicurezza dei file di sistema anche su dispositivi non amministrati centralmente.

Ma con questi vantaggi crescono anche le responsabilità per gli amministratori IT, che devono ora monitorare un ecosistema sempre più opaco, automatizzato e regolato da policy dinamiche, con margini di intervento diretti sempre più ridotti.