Sommario
Microsoft si trova al centro di una triplice criticità che coinvolge sicurezza, compatibilità e usabilità: la build 24H2 di Windows 11 viene bloccata su alcuni PC per problemi con un driver offuscato, estensioni Visual Studio Code diffondono cryptominer e Microsoft 365 Copilot introduce una funzione utile ma limitata a licenze enterprise. L’insieme di questi eventi riflette sia la complessità di un ecosistema vasto come quello Microsoft, sia la tensione crescente tra innovazione rapida e sicurezza operativa.
Windows 11 24H2 bloccato su PC con driver sprotect.sys: schermate blu e crash critici
Con l’arrivo dell’aggiornamento Windows 11 versione 24H2, Microsoft ha imposto un blocco selettivo (safeguard hold) sui dispositivi che eseguono il driver sprotect.sys sviluppato da SenseShield Technology. Il motivo è una grave incompatibilità che genera schermate blu (BSOD) o nere (BSoD) al momento dell’installazione o dell’avvio del sistema aggiornato.
Il driver, utilizzato da software di sicurezza e crittografia aziendale, può essere installato come dipendenza da applicazioni terze, spesso senza che l’utente ne sia consapevole. Per questo motivo, il blocco è stato attivato a livello di Windows Update, con un messaggio che informa che l’aggiornamento è in fase di distribuzione ma non ancora pronto per il dispositivo in questione.
Microsoft consiglia di non forzare l’aggiornamento utilizzando tool manuali finché il problema non sarà risolto. Gli amministratori di sistema possono verificare la presenza del blocco tramite la safeguard ID 56318982 nei report di Windows Update for Business.
In parallelo, l’azienda ha già rimosso altri blocchi legati a incompatibilità con AutoCAD, componenti audio Dirac, Safe Exam Browser e perfino problemi con le webcam integrate su specifici notebook ASUS.
Estensioni VSCode infettano utenti Windows con cryptominer XMRig mascherato da tool per sviluppatori
Una nuova ondata di estensioni malevole caricate sul marketplace ufficiale di Visual Studio Code ha messo a rischio oltre 300.000 utenti. Nove plugin apparentemente innocui, come Discord Rich Presence o ChatGPT Agent, includevano in realtà uno script PowerShell offuscato che scaricava il malware XMRig, impiegato per minare criptovalute (Ethereum e Monero) a spese delle risorse dell’utente.
Le estensioni erano pubblicate da un autore identificato come “Mark H”, e replicavano nomi e funzionalità di plugin legittimi per guadagnare fiducia e aumentare installazioni. Una volta attivate, scaricavano da asdf11[.]xyz un payload che disabilitava servizi di aggiornamento, inseriva esecuzioni automatiche nei registri di sistema e, nel caso di assenza di privilegi amministrativi, ricorreva a DLL hijacking per scalare i privilegi utilizzando il binario ComputerDefaults.exe.
Il cryptominer era poi scaricato dal dominio secondario myaunet[.]su e avviato tramite un eseguibile codificato in base64. Il server C2 controllato dagli attaccanti ospitava anche una directory denominata /npm/, suggerendo un’estensione parallela della campagna sul registry JavaScript, sebbene non siano state trovate prove dirette al momento.
Nonostante la segnalazione a Microsoft, le estensioni risultano ancora disponibili al momento della pubblicazione, aggravando i timori sulla sicurezza del marketplace ufficiale di Visual Studio Code. Gli utenti colpiti devono rimuovere manualmente le estensioni, cancellare i processi programmati e le chiavi di registro infette, oltre a eseguire una scansione antivirus avanzata.
Copilot per Microsoft 365 introduce l’upload da mobile, ma solo per licenze enterprise
Nel tentativo di migliorare l’interazione tra dispositivi mobili e PC, Microsoft ha integrato una nuova funzionalità in Copilot per Microsoft 365, che consente agli utenti di caricare immagini direttamente da smartphone Android o iOS all’interno di documenti Word, Excel o PowerPoint.
Per utilizzare la funzione, è sufficiente aprire un file in una delle app Microsoft 365 su Windows o web, cliccare sull’icona Copilot, selezionare “Upload from mobile phone” e scansionare un QR code generato automaticamente. Lo smartphone reindirizza a una schermata di upload che permette di scattare una foto o selezionare un’immagine esistente. Il contenuto caricato compare direttamente nella chat di Copilot sul PC.
Tuttavia, questa innovazione è riservata agli utenti con licenza enterprise Copilot, in particolare alla build 2504 (Build 18603.20000). L’accesso è escluso per chi utilizza versioni personali o gratuite di Microsoft 365, limitando fortemente la diffusione immediata di una funzione che potrebbe semplificare il lavoro di milioni di utenti comuni.
Attualmente la funzionalità è compatibile solo con le versioni Windows e web delle app Office. Non è ancora disponibile su macOS né su applicazioni mobile native, limitandone ulteriormente la portata.
Un ecosistema frammentato tra vulnerabilità, utility e privilegi esclusivi
Le tre notizie che coinvolgono Windows 11, Visual Studio Code e Microsoft 365 Copilot disegnano un ecosistema tecnologico Microsoft estremamente potente ma vulnerabile a errori di interoperabilità, minacce distribuite e limitazioni di accesso. Il blocco su Windows 11 24H2 evidenzia la fragilità dell’aggiornamento software su piattaforme con driver obsoleti o offuscati, mentre la campagna malevola su VSCode espone i limiti di moderazione dei contenuti su marketplace ufficiali.
Al tempo stesso, le innovazioni funzionali come la gestione delle immagini via Copilot dimostrano come Microsoft stia costruendo un futuro produttivo integrato tra mobile, AI e cloud, ma riservato alle fasce più alte del mercato. La sfida sarà garantire che queste soluzioni siano più sicure, più accessibili e meno frammentate, riducendo i rischi per l’utente finale.
