Spcnet.it

2026-05-22 12:57:36

Azure Linux 4.0: Microsoft adotta Fedora come upstream e lancia Azure Container Linux in GA

Microsoft ha annunciato ufficialmente Azure Linux 4.0 all’Open Source Summit North America, tenutosi a Minneapolis il 18 maggio 2026. Con questa release, la distribuzione Linux di Microsoft — precedentemente nota come CBL-Mariner — compie un salto architetturale significativo: abbandona il proprio sistema di packaging indipendente e adotta Fedora Linux come upstream base, mantenendo il formato RPM e le personalizzazioni specifiche per Azure.

In parallelo, Microsoft ha annunciato la disponibilità generale di Azure Container Linux, un sistema operativo immutabile ottimizzato per workload containerizzati su Azure.

Dalla CBL-Mariner ad Azure Linux: una breve storia

CBL-Mariner (Common Base Linux Mariner) è nata internamente in Microsoft come distribuzione Linux leggera per supportare i propri servizi cloud e dispositivi. Nel 2022 è stata rinominata Azure Linux e resa open source, diventando la base di alcune immagini ufficiali per Azure Virtual Machines e Azure Kubernetes Service (AKS).

Azure Linux 3 è ancora la versione stabile consigliata per la produzione. Azure Linux 4.0 è attualmente in public preview su Azure Virtual Machines.

Il cambio fondamentale: Fedora come upstream

Il cambiamento più rilevante di Azure Linux 4 riguarda il modello di sviluppo del packaging. Microsoft ha scelto di derivare i propri pacchetti direttamente dalle sorgenti Fedora, invece di mantenere spec RPM scritti internamente da zero.

Dal README del repository GitHub ufficiale:

“Azure Linux is an open-source Linux distribution built and optimized for Azure, with sources derived from Fedora Linux.”

In pratica, il sistema è definito tramite file di configurazione TOML e overlay mirati applicati sopra i sorgenti di packaging di Fedora. Microsoft ha dichiarato che questi overlay sono volutamente limitati per evitare una divergenza eccessiva dall’upstream.

Struttura tecnica del repository

Il repository di Azure Linux 4 include spec RPM generati automaticamente, prodotti applicando gli overlay di Azure Linux ai sorgenti upstream di Fedora. Questi file sono inclusi nel repository per garantire trasparenza e auditabilità della supply chain.

Per la build vengono usati gli strumenti RPM standard dell’ecosistema Fedora/RHEL:

# Build di un pacchetto con mock (ambiente isolato)
mock -r azurelinux-4-x86_64 --rebuild pacchetto.src.rpm

# Build diretta con rpmbuild
rpmbuild -ba SPECS/pacchetto.spec

# Build con Koji (sistema di build distribuito)
koji build azurelinux4 pacchetto.src.rpm

L’uso di tooling standard come mock, rpmbuild e Koji è una scelta deliberata: chi conosce già l’ecosistema Fedora o RHEL può contribuire ad Azure Linux senza dover imparare strumenti proprietari.

Vantaggi del modello Fedora-based

Adottare Fedora come upstream porta vantaggi concreti su più fronti:

• Sicurezza e patch veloci: le vulnerabilità risolte upstream in Fedora possono essere incorporate rapidamente, senza dover riapplicare patch su spec mantenuti separatamente
• Ecosistema di pacchetti più ampio: Fedora ha un repository di pacchetti molto più vasto di quello che Microsoft poteva mantenere autonomamente in CBL-Mariner
• Toolchain familiare: dnf, rpm, mock, Koji — strumenti già noti a migliaia di amministratori di sistema
• Audit della supply chain: gli spec generati automaticamente e committati nel repo rendono verificabile ogni dipendenza

Azure Container Linux: l’alternativa immutabile

Annunciato in GA insieme ad Azure Linux 4.0 Preview, Azure Container Linux è una distribuzione separata, progettata specificamente per workload containerizzati. Le caratteristiche principali:

• Sistema operativo immutabile: il filesystem di sistema è read-only; gli aggiornamenti avvengono per sostituzione dell’intera immagine, non pacchetto per pacchetto
• Ottimizzato per AKS: superficie di attacco ridotta, nessun package manager esposto, avvio rapido
• Aggiornamenti atomici: simile all’approccio di Flatcar Linux o CoreOS, con rollback automatico in caso di failure

I due prodotti si rivolgono a use case diversi: Azure Linux 4 per VM general purpose, Azure Container Linux per nodi Kubernetes e workload container-native.

Come provare Azure Linux 4.0 su Azure

Azure Linux 4.0 è disponibile in public preview su Azure Virtual Machines. Per creare una VM con questa immagine tramite Azure CLI:

# Cerca l'immagine Azure Linux 4 disponibile
az vm image list   --publisher MicrosoftCBLMariner   --offer azure-linux-4   --all   --output table

# Crea una VM in anteprima
az vm create   --resource-group myResourceGroup   --name myAzureLinux4VM   --image MicrosoftCBLMariner:azure-linux-4:azure-linux-4-gen2:latest   --size Standard_D2s_v5   --admin-username azureuser   --generate-ssh-keys

Per chi vuole esplorare il codice sorgente o contribuire, il repository è disponibile su GitHub nel branch 4.0:

git clone https://github.com/microsoft/azurelinux.git
cd azurelinux
git checkout 4.0

Cosa rimane invariato

Nonostante il cambio di upstream, Microsoft mantiene le caratteristiche distintive di Azure Linux:

• Ottimizzazioni kernel specifiche per Azure (driver paravirtualizzati, supporto RDMA, ecc.)
• Integrazione nativa con Azure Monitor, Azure Arc e gli altri servizi della piattaforma
• Conformità agli standard di sicurezza Microsoft (FIPS 140-3, CIS Benchmark)
• Ciclo di supporto allineato alle esigenze enterprise

Considerazioni per i sysadmin

Per chi gestisce infrastrutture su Azure, Azure Linux 4 rappresenta un’evoluzione interessante. L’allineamento con Fedora significa che le competenze RPM già acquisite su RHEL o CentOS Stream sono direttamente applicabili. La toolchain di build è quella standard, la documentazione upstream è più ricca, e le patch di sicurezza arriveranno più velocemente.

Il consiglio di Microsoft di restare su Azure Linux 3 per i workload in produzione è ragionevole: la versione 4 è ancora in preview attiva. Tuttavia, per chi gestisce ambienti di test o vuole prepararsi alla migrazione, vale la pena esplorare il repository e familiarizzare con la nuova struttura già adesso.

---

Fonte: Linuxiac — Microsoft Azure Linux 4 Moves to a Fedora-Based Foundation | Microsoft Open Source Blog

From open source to agentic systems: Microsoft at Open Source Summit North America 2026 | Microsoft Open Source Blog

Discover how Azure Linux 4.0 and Azure Container Linux deliver a secure, scalable Linux foundation for cloud native apps, containers, and AI workloads.

^{Brendan Burns (Microsoft Open Source Blog)}

Spcnet.it

2026-05-22 12:59:17

Guida ai file di log su Linux: leggere, cercare e gestire i log con tail, grep e journalctl

Perché i log sono il primo posto dove guardare

Quando qualcosa si rompe su un sistema Linux, i log sono quasi sempre la prima risposta. Eppure molti amministratori li consultano solo come ultima risorsa, quando ormai il danno è fatto. I log raccontano cosa sta facendo il sistema adesso, cosa ha fatto ieri notte, e cosa esattamente è andato storto alle 3:00 di questa mattina. Imparare a leggerli, cercarli e gestirli è una delle competenze fondamentali di ogni sysadmin.

Questa guida copre i file di log che ogni amministratore Linux dovrebbe conoscere, gli strumenti per cercarli in modo efficiente, e come evitare che crescano fino a riempire il disco.

Dove vivono i log su Linux

La maggior parte dei file di log si trova sotto /var/log/. Alcuni sono testo semplice, altri sono binari e richiedono strumenti dedicati per essere letti. Ecco i più importanti:

• /var/log/syslog (Debian/Ubuntu) o /var/log/messages (RHEL/CentOS/Fedora) — messaggi generali di sistema da kernel e servizi.
• /var/log/auth.log (Debian/Ubuntu) o /var/log/secure (RHEL/CentOS/Fedora) — tentativi di autenticazione, uso di sudo, accessi SSH.
• /var/log/kern.log — messaggi specifici del kernel. Utile per problemi hardware e driver.
• /var/log/dmesg — output del kernel ring buffer dal boot. Accessibile anche tramite il comando dmesg.
• /var/log/dpkg.log — cronologia di installazione, rimozione e aggiornamento pacchetti su sistemi Debian.
• /var/log/dnf.log o /var/log/yum.log — equivalente per Fedora/RHEL.
• /var/log/apache2/ o /var/log/httpd/ — log di accesso ed errore di Apache.
• /var/log/nginx/ — log di accesso ed errore di Nginx.
• /var/log/mysql/ — log degli errori MySQL.
• /var/log/cron o /var/log/cron.log — cronologia di esecuzione dei cron job.

Sui sistemi moderni basati su systemd, molti di questi log tradizionali sono affiancati o sostituiti dal journal di systemd. Ne parliamo nella sezione dedicata a journalctl.

Lettura di base: tail, less e cat

Per i file di testo semplice, gli strumenti classici funzionano benissimo.

Visualizzare la coda del log

tail /var/log/syslog

Seguire un log in tempo reale

tail -f /var/log/syslog

Utile quando si sta riproducendo un problema in diretta. Per seguire più file contemporaneamente:

tail -f /var/log/syslog /var/log/auth.log

Sfogliare il log completo con paginazione

less /var/log/syslog

All’interno di less: G salta alla fine, g torna all’inizio, /pattern cerca un termine. Molto più veloce di quanto sembri.

Ricerca nei log con grep

Quando un log cresce oltre qualche MB, scorrere manualmente diventa inutile. grep è lo strumento principale per filtrare le righe rilevanti.

Trovare tutti i fallimenti di autenticazione SSH

grep "Failed password" /var/log/auth.log

Ricerca case-insensitive

grep -i "error" /var/log/syslog

Mostrare il contesto intorno a ogni match (3 righe prima e dopo)

grep -C 3 "Out of memory" /var/log/syslog

Ricerca ricorsiva in una directory

grep -r "connection refused" /var/log/nginx/

Contare quante volte appare un pattern

grep -c "Failed password" /var/log/auth.log

Filtrare per una data specifica

grep "^May 21" /var/log/syslog

Combinare tail e grep per cercare solo nelle righe recenti

tail -n 500 /var/log/syslog | grep "error"

Il journal di systemd: journalctl

Su qualsiasi distro moderna basata su systemd, journalctl è spesso più potente dei file di log tradizionali. Il journal raccoglie output da tutti i servizi, dal kernel e dal processo di boot in un formato binario strutturato e interrogabile.

Comandi essenziali di journalctl

# Tutte le voci del journal (dalla più vecchia)
journalctl

# Dal più recente al più vecchio
journalctl -r

# Seguire il journal in tempo reale (come tail -f)
journalctl -f

# Solo i messaggi del kernel
journalctl -k

# Log di un servizio specifico
journalctl -u nginx
journalctl -u sshd

# Solo dal boot corrente
journalctl -b

# Dal boot precedente (utile dopo un crash o riavvio imprevisto)
journalctl -b -1

# Solo errori e livelli superiori (emergency, alert, critical, error)
journalctl -p err

# Filtro per intervallo di tempo
journalctl --since "2026-05-21 08:00:00" --until "2026-05-21 09:00:00"

# Oppure con tempo relativo
journalctl --since "1 hour ago"

# Output compatto senza pager, utile per piping
journalctl -u sshd -o short --no-pager | tail -50

Il flag --no-pager disabilita l’apertura automatica di less e restituisce l’output direttamente al terminale. Indispensabile quando si vuole fare pipe verso grep o altri strumenti.

Analisi dei log di autenticazione SSH

Il log di autenticazione è uno dei più importanti su qualsiasi server esposto a internet. Se il server ha un IP pubblico, ci saranno tentativi di brute-force costanti. Ecco come analizzarli.

Vedere i fallimenti SSH recenti

# Su Debian/Ubuntu
grep "Failed password" /var/log/auth.log | tail -20

# Su RHEL/CentOS/Fedora
grep "Failed password" /var/log/secure | tail -20

# Su qualsiasi sistema systemd
journalctl -u sshd | grep "Failed password" | tail -20

Trovare gli IP che attaccano di più

grep "Failed password" /var/log/auth.log \
    | grep -oP 'from \K[0-9.]+' \
    | sort | uniq -c | sort -rn | head -10

Questo one-liner estrae l’IP sorgente da ogni riga di login fallito, conta le occorrenze e le ordina per frequenza decrescente. L’anchor sulla parola from mantiene il match corretto indipendentemente dal formato esatto della riga (con o senza “invalid user”). L’output di questo comando è spesso sufficiente a motivare l’installazione immediata di fail2ban.

Log del kernel e del boot con dmesg

Il comando dmesg legge dal kernel ring buffer ed è particolarmente utile per diagnosticare problemi hardware, driver e dischi.

# Tutti i messaggi kernel
dmesg

# Con timestamp leggibili
dmesg -T

# Solo errori e warning
dmesg -T --level=err,warn

# Cercare errori disco
dmesg -T | grep -i "error\|fail\|reset"

Se un disco sta cedendo, si vedranno righe che menzionano il nome del device (sda, nvme0, ecc.) con parole come I/O error o hard resetting link. Non vanno ignorate.

Gestione della rotazione: logrotate

I log mangiano disco se non vengono gestiti. Su quasi tutti i sistemi Linux, logrotate si occupa di questo automaticamente: comprime e ruota i file di log secondo una schedulazione configurabile.

Il file di configurazione principale è /etc/logrotate.conf, mentre le configurazioni per singola applicazione si trovano sotto /etc/logrotate.d/.

Un esempio tipico per Nginx:

/var/log/nginx/*.log {
    daily
    missingok
    rotate 14
    compress
    delaycompress
    notifempty
    create 0640 www-data adm
    sharedscripts
    postrotate
        [ -f /var/run/nginx.pid ] && kill -USR1 `cat /var/run/nginx.pid`
    endscript
}

Le direttive principali da conoscere:

• daily / weekly / monthly — frequenza di rotazione.
• rotate 14 — quanti file vecchi conservare prima di cancellare.
• compress — comprime i log ruotati con gzip.
• delaycompress — non comprime il log ruotato più di recente (utile per applicazioni che tengono il file aperto brevemente dopo la rotazione).
• missingok — non genera errore se il file di log non esiste.
• postrotate — esegue un comando dopo la rotazione, tipicamente per segnalare all’applicazione di riaprire il file di log.

Test e debug di logrotate

# Simulare la rotazione senza eseguirla davvero
sudo logrotate --debug /etc/logrotate.conf

# Forzare la rotazione immediatamente (utile per test)
sudo logrotate --force /etc/logrotate.d/nginx

Gestione della dimensione del journal systemd

Anche il journal di systemd può crescere molto se non monitorato. Verificare l’utilizzo disco e limitarlo:

# Verificare lo spazio occupato dal journal
journalctl --disk-usage

# Ridurre il journal a un massimo di 500 MB
sudo journalctl --vacuum-size=500M

# Mantenere solo le voci degli ultimi 30 giorni
sudo journalctl --vacuum-time=30d

Per impostare un limite permanente, modificare /etc/systemd/journald.conf:

[Journal]
SystemMaxUse=500M
MaxRetentionSec=1month

Dopo la modifica, riavviare il servizio: sudo systemctl restart systemd-journald.

Un workflow pratico per il troubleshooting

Quando si affronta un problema su un server Linux, un approccio sistematico ai log risparmia tempo. Partire da journalctl -p err -b per vedere tutti gli errori del boot corrente, poi restringere con journalctl -u nome-servizio --since "30 min ago" per il servizio specifico. Se il problema è comparso dopo un riavvio, journalctl -b -1 mostra i log del boot precedente. Per problemi hardware, dmesg -T --level=err,warn è spesso la risposta più rapida.

I log su Linux non sono una last resort: sono la prima e più affidabile fonte di verità su cosa sta succedendo nel sistema.

---

Fonte originale: LinuxBlog.io — Linux Log Files: Guide to Reading, Searching, and Managing Logs di Hayden James.

Linux Log Files: Guide to Reading, Searching, and Managing Logs | LinuxBlog.io

A practical guide to Linux log files: where they live, how to read and search them with tail, grep, and journalctl, how to manage log rotation, and a real-world troubleshooting workflow.

^{Hayden James (LinuxBlog.io)}

(in)sicurezza digitale

2026-05-22 09:52:16

“Patchato” non significa protetto: attaccanti bypassano l’MFA sui VPN SonicWall Gen6 e raggiungono i file server in 30 minuti

Si parla di:
Toggle

C’è una categoria di vulnerabilità particolarmente insidiosa: quella delle patch che non funzionano perché nessuno ha seguito tutte le istruzioni. È esattamente quello che sta accadendo con i dispositivi SonicWall Gen6 SSL-VPN e CVE-2024-12802, con intrusioni ransomware già documentate in ambienti multipli tra febbraio e maggio 2026.

Il problema: patch firmware vs. rimedio reale

CVE-2024-12802 è una vulnerabilità di authentication bypass nelle appliance SonicWall SSL-VPN. La radice del problema sta in come SonicWall gestisce due diversi formati di login Active Directory: UPN (User Principal Name, il formato simile a un indirizzo email) e SAM (Security Account Manager, il formato legacy). L’enforcement dell’MFA è applicato indipendentemente a ciascun formato di login, non all’identità utente sottostante.

Un attaccante che conosce credenziali valide può autenticarsi usando il percorso UPN anche quando l’MFA è configurata, perché l’enforcement specifico per quel percorso è assente. L’aggiornamento firmware corregge la gestione delle sessioni, ma non rimuove la configurazione LDAP preesistente che consente il bypass. Come spiega ReliaQuest nel loro report: “Patching the firmware doesn’t remove the existing LDAP configuration that allows the bypass; the vulnerable configuration remains in place.”

La rimediazione completa richiede sei passaggi manuali aggiuntivi documentati nel security advisory SNWLID-2025-0001 di SonicWall: cancellare completamente la configurazione LDAP esistente e ricrearla senza il formato userPrincipalName su cui fa leva l’exploit. I workflow standard di patch management non sono progettati per verificare passi di riconfigurazione manuale — la versione firmware viene aggiornata, il controllo versione passa, il dispositivo sembra protetto. Non lo è.

L’exploitation osservata: dalla VPN al file server in 30 minuti

Tra febbraio e marzo 2026, i ricercatori di ReliaQuest hanno documentato quella che valutano come la prima exploitation in-the-wild di CVE-2024-12802 in ambienti multipli. Il pattern di intrusione osservato è stato consistente tra gli incidenti: gli attaccanti eseguono brute force delle credenziali VPN, bypassano l’MFA usando il percorso UPN vulnerabile, e si muovono rapidamente all’interno delle reti.

In alcuni casi, bastano 13 tentativi di brute force per ottenere credenziali valide. In un incidente specifico documentato da ReliaQuest, l’attaccante è passato dall’accesso VPN iniziale a un file server domain-joined, stabilendo una connessione RDP con una password locale condivisa di amministratore, in meno di trenta minuti.

Il comportamento post-compromissione è rivelatorio: dopo aver stabilito il foothold iniziale, l’attaccante ha tentato di distribuire un Cobalt Strike beacon per command-and-control e ha cercato di caricare un driver vulnerabile — probabilmente tramite la tecnica Bring Your Own Vulnerable Driver (BYOVD) per neutralizzare la protezione endpoint. L’EDR presente ha bloccato entrambi i tentativi. Ma l’attaccante si è disconnesso deliberatamente, è tornato giorni dopo usando account diversi, e ha ripetuto il pattern — comportamento più coerente con un initial access broker che valuta il valore della vittima che con un gruppo ransomware in fase di esecuzione immediata.

Il problema dei log: l’MFA sembra funzionare quando non funziona

Una delle caratteristiche più pericolose di questo attacco è il modo in cui appare nei log. Come riportano i ricercatori di ReliaQuest: “The rogue login attempts observed in the investigated incidents still appeared as a normal MFA flow in logs, leading defenders to believe that MFA worked even when it failed.”

Il segnale chiave da cercare nei log di autenticazione VPN è il valore sess="CLI", che indica autenticazione VPN scriptata o automatizzata. La maggior parte delle organizzazioni non monitora attivamente questo campo. I numeri di evento 238 e 1080 sono ulteriori indicatori da inserire nelle regole di alerting.

Dispositivi affetti e stato di fine vita

La vulnerabilità è specifica all’hardware Gen6, che include i modelli NSa 2700, NSa 3700, NSa 4700, NSa 5700 e NSa 6700 con firmware SonicOS 7.0 attraverso 7.1.1. Questo rappresenta un ulteriore problema: i dispositivi Gen6 hanno raggiunto il fine vita il 16 aprile 2026 e non ricevono più aggiornamenti di sicurezza.

Per i dispositivi Gen7 e Gen8, la situazione è diversa: gli aggiornamenti firmware alle versioni 7.2.0-7015 e 8.0.1-8017 incorporano già i passi di rimediazione descritti nell’advisory, e dopo l’upgrade è nuovamente supportato l’uso di userPrincipalName nelle configurazioni LDAP. Il problema è esclusivo al parco installato Gen6.

I settori più colpiti nei casi documentati includono servizi finanziari, sanità e manifatturiero, suggerendo un threat actor con conoscenza specifica del settore e obiettivi di alto valore economico.

Indicatori di compromissione e detection

# LOG INDICATORS (SonicWall SSL-VPN authentication logs)
sess="CLI"          # Autenticazione VPN automatizzata/scriptata - indicatore chiave
Event ID 238        # Evento da monitorare in correlazione con sess=CLI
Event ID 1080       # Evento da monitorare in correlazione con sess=CLI

# BEHAVIORAL INDICATORS
- Accessi VPN da IP appartenenti a VPS o infrastruttura VPN
- Autenticazioni UPN riuscite per account con MFA configurata
- Brute force con numero basso di tentativi (anche solo 13)
- RDP da sistemi interni verso file server entro 30 minuti dall'accesso VPN
- Installazione di Cobalt Strike beacon post-compromissione
- Tentativi di caricamento driver vulnerabili (BYOVD)

# CVE
CVE-2024-12802 - SonicWall SSL-VPN Authentication Bypass (MFA bypass via UPN path)
Advisory: SNWLID-2025-0001

Due righe per i difensori

• Verifica rimediazione completa: Non basta che il firmware sia aggiornato. Seguire tutti e sei i passaggi manuali dell’advisory SNWLID-2025-0001 di SonicWall — questo include cancellare e ricreare la configurazione LDAP senza userPrincipalName.
• Caccia retroattiva nei log: Cercare sess="CLI" nei log di autenticazione VPN degli ultimi mesi. Se presente insieme ad autenticazioni “riuscite” per account con MFA attiva, la protezione potrebbe essere stata bypassata in precedenza.
• Migrazione Gen6: Considerare la migrazione urgente da Gen6 a Gen7/Gen8, dato il fine vita raggiunto ad aprile 2026. Non ci saranno patch per vulnerabilità future su questo hardware.
• Monitoraggio accessi VPN da range anomali: Alerting su login VPN originati da IP di VPS provider o range VPN, specialmente per account con MFA configurata.
• Correlazione eventi 238 e 1080: Aggiungere questi event ID alle regole SIEM in correlazione con il campo sess=”CLI”.
• Revisione LDAP: Verificare che la configurazione LDAP attiva non contenga userPrincipalName come formato di lookup.

Il takeaway più importante di questa vicenda non è tecnico, ma procedurale: i workflow di patch management standard non sono progettati per verificare passi di riconfigurazione manuale. Una patch applicata non è necessariamente una vulnerabilità chiusa. In contesti di sicurezza perimetrale, questo principio va internalizzato nei processi di verifica post-patch.

(in)sicurezza digitale

2026-05-22 10:18:34

Una riunione urgente su Teams e il conto svuotato: la nuova truffa che sfrutta il panico da videocall

C’è un dettaglio interessante nelle nuove campagne cyber che stanno circolando nelle ultime ore: non cercano più di sembrare sofisticate. Cercano di sembrare normali.

Una notifica su Microsoft Teams.

Un collega che chiede supporto.

Una call urgente prima di una riunione.

E pochi minuti dopo, credenziali rubate, malware installato o conti aziendali compromessi.

Tra le notizie emerse nelle ultime ore nel panorama cybersecurity internazionale, una delle più interessanti riguarda proprio una nuova ondata di attacchi che sfruttano Microsoft Teams come leva di social engineering. Il punto centrale non è tanto la tecnica utilizzata dai criminali, quanto il modo in cui stanno cambiando le abitudini delle vittime.

Per anni il phishing è stato associato a email sospette, allegati strani e messaggi scritti male. Oggi invece gli attaccanti stanno puntando sempre di più sugli strumenti di lavoro quotidiani: Teams, Zoom, Slack, Google Meet.

Perché funzionano.

E soprattutto perché in molte aziende le persone vivono ormai in uno stato costante di urgenza digitale.

La dinamica osservata nelle campagne più recenti è piuttosto semplice. La vittima riceve un messaggio Teams apparentemente legittimo, spesso collegato a un meeting imminente o a un problema tecnico. In alcuni casi viene chiesto di aprire un file condiviso, installare un aggiornamento, autenticarsi nuovamente oppure partecipare rapidamente a una videocall.

Tutto appare plausibile.

È proprio questo il punto.

I criminali non stanno cercando di violare firewall o bypassare vulnerabilità sofisticate. Stanno sfruttando la pressione psicologica tipica dell’ambiente lavorativo moderno.

Una notifica improvvisa durante una giornata piena di call.

Una richiesta urgente del reparto IT.

Un manager che scrive “mi serve subito”.

Nel contesto giusto, il cervello smette di analizzare e inizia semplicemente a reagire.

È questa la vera evoluzione del social engineering nel 2026: attacchi costruiti attorno ai comportamenti umani più che attorno alle vulnerabilità tecniche.

Le piattaforme collaborative sono diventate perfette per questo tipo di operazioni. A differenza delle email tradizionali, gli strumenti di messaggistica aziendale trasmettono automaticamente un senso di fiducia maggiore. Se un messaggio arriva su Teams, molti utenti tendono inconsciamente a considerarlo “interno”, quindi sicuro.

Ed è qui che i criminali stanno trovando spazio.

In diversi scenari osservati negli ultimi mesi, gli attaccanti utilizzano account compromessi reali per avviare conversazioni credibili con dipendenti dell’azienda. In altri casi sfruttano tenant esterni, nickname aziendali o identità molto simili a quelle originali.

L’obiettivo può cambiare.

A volte si tratta di furto credenziali.

Altre volte di installare malware.

In alcuni casi ancora più critici, gli attacchi servono come porta iniziale per intrusioni ransomware.

Ed è qui che il problema smette di essere “solo IT”.

Perché queste campagne funzionano esattamente come funzionano le truffe telefoniche contro gli anziani o le frodi sentimentali online: sfruttano fiducia, fretta e manipolazione emotiva.

La tecnologia cambia.

La psicologia umana molto meno.

Negli ambienti enterprise moderni esiste ormai una pressione costante alla reperibilità immediata. Rispondere velocemente è diventato quasi un obbligo culturale. Ed è proprio questa dinamica che rende strumenti come Teams particolarmente pericolosi dal punto di vista del social engineering.

Un’email può essere ignorata.

Una notifica Teams durante l’orario lavorativo no.

Anche perché spesso compare direttamente sul desktop, interrompe altre attività e arriva mentre l’utente sta già gestendo decine di conversazioni contemporaneamente.

In pratica il cybercrime sta imparando a inserirsi perfettamente nei micro-momenti di distrazione.

Ed è probabilmente questa la parte più inquietante.

Non serve più creare una finta pagina perfetta o un malware invisibile. Basta convincere una persona stanca, stressata o distratta a cliccare nel momento giusto.

Per questo motivo le aziende stanno iniziando a rivedere anche la formazione interna. Le classiche campagne anti-phishing basate solo sulle email non bastano più. Oggi il social engineering passa attraverso chat aziendali, videochiamate, sistemi di collaborazione e perfino notifiche push.

La vera sfida della cybersecurity moderna non è soltanto proteggere le infrastrutture.

È proteggere l’attenzione umana.

E in un mondo dove lavoriamo continuamente dentro piattaforme collaborative, distinguere una richiesta autentica da una manipolazione sta diventando sempre più difficile.

Fake Microsoft Teams Campaign Delivers ValleyRAT via NSIS Installer and DLL Sideloading

We came across fake Microsoft Teams distribution sites, shared on X platform back in mid April. The websites closely mimic […]

^{Srinivasan E (K7 Labs)}

Spcnet.it

2026-05-21 17:14:06

Exchange Online Writeback: sincronizzare le modifiche cloud con Active Directory on-premises

Il problema storico degli ambienti ibridi Exchange

Chiunque abbia gestito un ambiente ibrido Exchange-Active Directory conosce bene il dolore: le caselle email esistono su Exchange Online, ma gli attributi che le descrivono — indirizzi proxy, parametri di routing, configurazioni di delivery — devono essere sempre sincronizzati con l’Active Directory on-premises. Le applicazioni line-of-business leggono questi dati direttamente dall’AD locale, e se Exchange Online e l’AD si disallineano, iniziano i problemi: email che non arrivano, rubriche inconsistenti, applicazioni interne che non trovano gli indirizzi corretti.

Fino ad oggi, la soluzione era mantenere almeno un server Exchange on-premises solo per gestire questo ciclo di scrittura degli attributi. Un server costoso da mantenere, aggiornare e mettere in sicurezza, la cui unica ragione di esistere era permettere la modifica degli attributi Exchange nell’Active Directory locale. Microsoft lo aveva già ammesso esplicitamente: il percorso verso l’abbandono dell’ultimo Exchange server on-premises era bloccato proprio da questo nodo tecnico.

Con la public preview del Writeback per Cloud-Managed Remote Mailboxes, annunciata a maggio 2026, questo nodo comincia finalmente a sciogliersi.

Cosa cambia con il Writeback di Exchange Online

La nuova funzionalità consente a Exchange Online di sincronizzare automaticamente le modifiche agli attributi Exchange dalla cloud verso l’Active Directory on-premises, invertendo il flusso tradizionale. Finora la sincronizzazione era unidirezionale: dall’AD locale verso Exchange Online, gestita da Microsoft Entra Connect Sync (o dal predecessore Azure AD Connect). Ora, con il writeback abilitato, qualsiasi modifica apportata a un mailbox cloud-managed — un nuovo indirizzo proxy, una modifica al display name Exchange, una variazione nei parametri di routing — viene automaticamente propagata all’AD on-premises tramite Microsoft Entra Cloud Sync.

Il risultato pratico è che l’AD locale rimane sempre aggiornato, e le applicazioni on-premises che leggono direttamente gli attributi Exchange dall’AD continuano a funzionare correttamente — anche dopo aver spostato la gestione delle mailbox completamente nel cloud.

Architettura della soluzione

Il writeback utilizza Microsoft Entra Cloud Sync come layer di trasporto tra Exchange Online e l’AD on-premises. Un aspetto importante da sottolineare: Entra Cloud Sync non sostituisce Entra Connect Sync. Le due soluzioni coesistono fianco a fianco. Le organizzazioni che usano già Entra Connect Sync per la sincronizzazione identità non devono disinstallare o sostituire nulla — installano semplicemente un agent Entra Cloud Sync aggiuntivo e configurano il nuovo flusso di writeback.

Il percorso di dati completo è quindi:

1. L’amministratore modifica un attributo Exchange Online (es. aggiunge un alias email)
2. Exchange Online propaga la modifica a Microsoft Entra ID
3. Entra Cloud Sync rileva la modifica e la scrive nell’Active Directory on-premises
4. Le applicazioni LOB leggono il dato aggiornato dall’AD locale in tempo reale

Come abilitare il Writeback: configurazione passo per passo

Il prerequisito fondamentale è avere almeno un agent Microsoft Entra Cloud Sync installato e configurato per il dominio AD target. Una volta soddisfatto questo requisito, la configurazione del writeback avviene dall’interfaccia di Entra ID:

Microsoft Entra Admin Center
→ Identity → Hybrid Management → Entra Connect
→ Cloud Sync → Configurations
→ New configuration → EXO to AD attribute sync (Preview)


Nella pagina di configurazione, si verifica che l’agent selezionato corrisponda al dominio corretto, quindi si conferma con Create. Dalla scheda Overview della nuova configurazione, si clicca Start provisioning per avviare il flusso di sincronizzazione.

Una volta avviato, il sistema inizia a monitorare le modifiche agli attributi Exchange nelle mailbox cloud-managed e a propagarle verso l’AD on-premises. Non è richiesta nessuna configurazione aggiuntiva sull’Exchange Server on-premises — anzi, questo è esattamente il punto: con questa funzionalità attiva, l’Exchange server locale non è più necessario per il writeback degli attributi.

Limiti della Preview e roadmap

La funzionalità è attualmente in Public Preview con alcune limitazioni da tenere presenti:

• Limite di mailbox: Durante la preview il writeback supporta tenant con meno di 200.000 mailbox cloud-managed. Il limite verrà rimosso o aumentato alla General Availability.
• GA target: Microsoft ha indicato la fine di giugno 2026 come obiettivo per la General Availability.
• Attributi supportati: Il writeback copre gli attributi Exchange designati — indirizzi proxy, parametri di routing, attributi mail-related — non l’intera struttura dell’oggetto AD.

Implicazioni strategiche per i sysadmin

Questa funzionalità rappresenta un passo concreto verso quello che Microsoft chiama “Last Exchange Server Retirement” — la possibilità di eliminare definitivamente l’ultimo server Exchange on-premises dalle infrastrutture ibride senza perdere funzionalità critiche.

Per i team IT, significa valutare concretamente un percorso di dismissione hardware e software che finora era rimasto bloccato. Un server Exchange on-premises richiede licenze, hardware dedicato (o VM), aggiornamenti cumulativi, patching della sicurezza e competenze specializzate per la manutenzione. Eliminarlo non è solo un risparmio economico: riduce la superficie d’attacco e semplifica l’architettura complessiva.

Naturalmente, prima di pianificare la dismissione, è necessario verificare alcune condizioni:

• Tutte le mailbox gestite on-premises devono essere migrate a Exchange Online come cloud-managed remote mailboxes
• Le applicazioni LOB che leggono attributi Exchange dall’AD devono essere testate nel nuovo scenario di writeback
• La latenza di sincronizzazione di Entra Cloud Sync deve essere compatibile con le esigenze delle applicazioni
• I flussi di email che usano connettori on-premises devono essere valutati separatamente

Conclusione

Il writeback di Exchange Online verso Active Directory on-premises è una delle novità più rilevanti per i sysadmin che gestiscono ambienti Microsoft ibridi. Risolve un problema tecnico che aveva bloccato molte organizzazioni nella loro transizione al cloud-only per anni, togliendo l’ultimo alibi per mantenere un server Exchange on-premises attivo.

Il fatto che sia ancora in preview suggerisce di non pianificare dismissioni immediate, ma è il momento giusto per iniziare i test in ambienti non produttivi, validare la compatibilità con le applicazioni LOB e costruire il piano di migrazione. La GA prevista per fine giugno 2026 potrebbe arrivare in coincidenza con la scadenza dei certificati Secure Boot: due scadenze importanti da non ignorare nello stesso mese.

---

Fonti: Microsoft Tech Community – Writeback for Cloud-Managed Remote Mailboxes, Microsoft Learn – Cloud-based management of Exchange attributes, Petri IT Knowledgebase – Exchange Online Writeback

Exchange Online Adds Writeback to Sync Cloud Mailbox Changes to On-Prem Active Directory

Exchange Online now supports writeback to sync cloud mailbox changes with on‑prem Active Directory.

^{Rabia Noureen (Petri IT Knowledgebase)}

(in)sicurezza digitale

2026-05-21 17:14:57

TeamPCP viola GitHub dall’interno: 3.800 repository sottratti in 18 minuti tramite un’estensione VS Code malevola

18 minuti. È il tempo in cui una versione trojanizzata dell’estensione VS Code Nx Console (nrwl.angular-console) è rimasta disponibile sul Visual Studio Marketplace il 18 maggio 2026. Un lasso di tempo apparentemente irrisorio, ma sufficiente perché il gruppo criminale TeamPCP compromettesse il device di almeno un dipendente GitHub e sottraesse circa 3.800 repository interni — uno degli incidenti di supply chain più gravi dell’anno sul piano dell’impatto sistemico.

Il contesto: TeamPCP e la catena TanStack

Per capire la violazione di GitHub è necessario risalire di dieci giorni. L’11 maggio 2026, TeamPCP aveva già pubblicato 84 artifact npm malevoli distribuiti su 42 pacchetti nel namespace TanStack — uno degli ecosistemi più adottati per il web development con React. Quell’operazione, che il sito ha seguito nelle settimane precedenti nella campagna Mini Shai-Hulud, aveva come obiettivo la compromissione a cascata di developer tramite dipendenze malevole che esfiltravano credenziali e token durante l’installazione.

TeamPCP ha guadagnato notorietà rapidamente come attore specializzato negli attacchi alla developer trust surface: non attacca i sistemi delle vittime direttamente, ma compromette la catena di strumenti e dipendenze su cui i developer si fidano implicitamente ogni giorno. L’attacco TanStack era già sufficientemente grave da soli — ma era anche il setup per qualcosa di più ambizioso.

Il vettore: Nx Console 18.95.0

Nx Console (nrwl.angular-console) è un’estensione VS Code con 2,2 milioni di installazioni e lo status di verified publisher — la certificazione più alta che Microsoft assegna agli editori sul marketplace. Questa combinazione di popolarità e fiducia istituzionale ne fa un bersaglio di enorme valore per un attore supply chain.

Il team di Nx ha successivamente ricostruito la catena causale: uno dei propri developer era stato precedentemente compromesso nel contesto dell’attacco a TanStack. Le sue credenziali GitHub erano trapelate, permettendo a TeamPCP di accedere al repository dell’estensione, modificare il codice, e pubblicare la versione 18.95.0 — quella avvelenata. Il meccanismo era semplice ma letale: non appena un developer apriva qualsiasi workspace in VS Code con l’estensione installata, il malware iniziava a raccogliere silenziosamente le credenziali memorizzate nel sistema.

La timeline dell’attacco

• 11 maggio 2026 — TeamPCP pubblica 84 pacchetti npm malevoli nel namespace TanStack; un developer Nx viene compromesso
• 18 maggio 2026, 12:30 UTC — Nx Console 18.95.0 (versione backdoor) appare sul VS Code Marketplace
• 18 maggio 2026, 12:48 UTC — La versione malevola viene rimossa dal Marketplace (18 minuti di esposizione)
• 18 maggio 2026, ~13:06 UTC — Rimossa da Open VSX (36 minuti totali di esposizione)
• 20 maggio 2026 — GitHub conferma la violazione: circa 3.800 repository interni esfiltrati, avvio rotazione di tutti i secret esposti

L’impatto: 3.800 repository interni di GitHub

GitHub ha confermato la sottrazione di circa 3.800 repository interni a opera di TeamPCP. L’azienda ha proceduto immediatamente alla rotazione di tutti i secret potenzialmente esposti. Non è ancora stato reso noto se i repository contengano codice relativo alla piattaforma github.com stessa, strumenti interni, infrastrutture di supporto o documentazione riservata — ma la sola portata numerica dell’esfiltrazione suggerisce un accesso profondo all’ecosistema di sviluppo interno di Microsoft GitHub. L’incidente ha colpito anche Grafana, compromessa attraverso un percorso diverso ma sempre legato alla catena TanStack.

Perché questo attacco è strutturalmente diverso

A differenza dei classici attacchi alla supply chain che operano a livello di package manager (npm, PyPI), questo incidente colpisce il layer dell’IDE — la superficie più prossima al developer e quella con i privilegi di accesso più ampi. Un’estensione VS Code non è un pacchetto passivo: ha accesso al filesystem locale, alle variabili d’ambiente di sistema, ai token Git memorizzati, alle chiavi SSH, ai file di configurazione cloud e all’intera sessione di sviluppo attiva.

Un’estensione verified con milioni di installazioni diventa, una volta compromessa, un vettore di distribuzione quasi impossibile da bloccare con le tradizionali difese perimetrali. La maggior parte degli endpoint detection agent non monitora il comportamento delle estensioni IDE con la stessa granularità con cui monitora i processi di sistema — un gap che TeamPCP ha sfruttato con precisione chirurgica.

Indicatori di compromissione (IoC)

# TeamPCP - GitHub Breach via Nx Console - IoC (maggio 2026)
# Estensione malevola
EXTENSION: nrwl.angular-console (Nx Console) versione 18.95.0
MARKETPLACE: Visual Studio Code Marketplace
TIMEFRAME: 2026-05-18 12:30–12:48 UTC (VS Code Marketplace)
TIMEFRAME: 2026-05-18 12:30–13:06 UTC (Open VSX)
# Infrastruttura TeamPCP documentata
DOMAIN: t.m-kosche.com (infra C2 TeamPCP)
# Campagne correlate
CAMPAIGN: Mini Shai-Hulud (npm/PyPI, 160+ pacchetti)
CAMPAIGN: TanStack supply chain (84 artifact npm su 42 pacchetti, 2026-05-11)
# Possibili alias
ACTOR: TeamPCP
ACTOR_ALIAS: UNC6780 (attribuzione parziale)
# Azione raccomandata
ACTION: Verificare estensioni VS Code installate nel periodo 2026-05-11/20
ACTION: Ruotare tutti i token GitHub/credential store sui sistemi degli sviluppatori

Due righe per i difensori

L’incidente impone una revisione urgente della postura di sicurezza degli ambienti di sviluppo. I team di sicurezza dovrebbero verificare immediatamente se l’estensione Nx Console 18.95.0 è stata installata su device aziendali nel periodo 11–20 maggio 2026, e in caso affermativo avviare la rotazione di tutte le credenziali presenti sui sistemi coinvolti — token GitHub, chiavi SSH, credenziali cloud, certificati. È fondamentale estendere il monitoraggio EDR alle estensioni IDE, configurando alert per comportamenti anomali come lettura massiva di file di configurazione, accesso ai credential store di sistema o connessioni di rete originate dal processo VS Code verso endpoint inusuali. Sul piano organizzativo, è necessario implementare il principio del minimo privilegio per le credenziali usate negli ambienti di sviluppo: i developer non dovrebbero mai usare token con permessi di scrittura su repository interni critici sui propri device personali. Infine, considerare l’adozione di ambienti di sviluppo isolati — container o VM dedicati — per i progetti a più alto rischio, separando fisicamente l’ambiente di esecuzione del codice dall’ambiente di lavoro quotidiano.

Spcnet.it

2026-05-21 08:29:05

GitHub Copilot diventa un’app desktop autonoma: sessioni agentiche e Agent Merge in anteprima tecnica

Il 14 maggio 2026, GitHub ha rilasciato in anteprima tecnica la GitHub Copilot App: una client desktop nativo, disponibile per macOS, Windows e Linux, che porta lo sviluppo agentico fuori dagli IDE e lo trasforma in un flusso di lavoro autonomo e strutturato. Non si tratta di un semplice wrapper del plugin per VS Code — è un’applicazione completamente ridisegnata attorno al concetto di sessione, pensata per chi gestisce più task in parallelo su repository diversi.

Perché un’app separata?

Fino ad oggi, GitHub Copilot viveva principalmente all’interno degli editor di testo (VS Code, JetBrains, Visual Studio). Il limite di questo approccio è strutturale: l’editor è centrato sul file, non sul task. Aprire una issue, capire il contesto, avviare un agente e poi seguire la PR fino al merge richiede di saltare continuamente tra browser, terminale e IDE.

La Copilot App rompe questo ciclo. Il suo punto di partenza non è un file, ma il contesto GitHub: issue, pull request, commenti di review e risultati dei check CI sono gli artefatti da cui nasce ogni sessione di lavoro agentico.

Il modello a sessioni isolate

Il concetto centrale dell’app è la sessione. Ogni sessione ha un proprio spazio di lavoro separato:

• Un branch Git dedicato, creato automaticamente all’avvio
• Una copia dei file del repository (worktree isolato)
• Una cronologia di conversazione separata
• Uno stato del task indipendente

Questo significa che è possibile tenere aperte contemporaneamente più sessioni — ognuna su un repository o task diverso — senza che si interferiscano. Una sessione può essere messa in pausa e ripresa in seguito esattamente dal punto in cui era rimasta, perché lo stato viene salvato lato cloud.

Questo approccio è particolarmente utile per i team che lavorano su task ripetitivi o paralleli: aggiornamenti delle dipendenze, generazione di release notes, triage automatico di issue, pulizia del codice morto.

L’inbox: un pannello di controllo unificato

L’interfaccia principale dell’app è una inbox che aggrega, in un’unica vista, issue aperte, pull request in attesa di review, fallimenti dei check CI e task in corso — attraverso tutti i repository connessi all’account GitHub.

Da questa inbox si può selezionare un elemento, assegnarlo a una nuova sessione, e l’agente parte con il contesto completo già disponibile: descrizione della issue, stato del branch, commenti precedenti. Non è necessario copiare e incollare nulla.

Agent Merge: il completamento automatico del ciclo PR

La funzionalità più interessante — e potenzialmente più impattante per i workflow aziendali — è Agent Merge.

Una volta aperta una pull request da una sessione, Agent Merge può:

• Rispondere ai commenti di review: legge i feedback dei reviewer e applica le modifiche richieste
• Correggere i fallimenti CI: se un check fallisce, analizza l’output e tenta di risolvere il problema
• Risolvere conflitti di merge: gestisce in autonomia i conflitti non ambigui
• Fare il merge finale: quando tutte le condizioni sono soddisfatte (approvazioni, check verdi, regole di branch protection rispettate), completa il merge

L’ultimo punto è importante: Agent Merge rispetta le regole di branch protection dell’organizzazione. Non bypassa i requisiti di approvazione manuale — si limita a gestire tutto ciò che è automatizzabile nel rispetto delle policy esistenti.

Terminale integrato e preview browser

L’app include un terminale integrato per eseguire comandi all’interno della sessione e un preview browser per testare l’output dell’applicazione prima di aprire la PR. Questo permette di validare le modifiche senza uscire dall’app.

Modelli AI configurabili per le organizzazioni

La Copilot App utilizza un mix di modelli da Anthropic, OpenAI e GitHub stesso. Le organizzazioni su piano Business o Enterprise possono configurare quale modello usare per le sessioni agentiche. Questa flessibilità è rilevante per chi ha requisiti specifici di compliance o preferenze tecniche sul provider AI.

Requisiti e disponibilità

L’app è disponibile in anteprima tecnica con accesso graduale:

• Pro e Pro+: iscrizione alla waitlist via gh.io/github-copilot-app
• Business e Enterprise: disponibilità progressiva — richiede che l’admin dell’organizzazione abbia abilitato le anteprime e il Copilot CLI nelle policy
• Piano gratuito: escluso per ora

L’app richiede una connessione costante ai backend GitHub perché le sessioni e i modelli AI risiedono interamente lato cloud. Non è possibile usarla offline.

Considerazioni per i team di sviluppo

Per un team che usa già GitHub Actions e branch protection, l’integrazione di Agent Merge può ridurre significativamente il tempo che i developer spendono su task meccanici post-review. La vera domanda non è tecnica ma di processo: fino a che punto si è disposti a delegare all’agente la chiusura del ciclo di una PR?

L’approccio a sessioni isolate su worktree separati è architetturalmente solido: ogni sessione non contamina il branch principale e l’isolamento Git garantisce che gli esperimenti agentici rimangano confinati. Il rischio principale è, come sempre, la qualità del codice generato — che rimane sotto responsabilità del developer che fa la review finale.

Per team che gestiscono molte PR in parallelo (es. monorepo, molti contributor, cicli di release frequenti), questa app può diventare un moltiplicatore di produttività reale.

---

Fonte: GitHub Changelog — GitHub Copilot app is now available in technical preview

GitHub Copilot app is now available in technical preview - GitHub Changelog

The GitHub Copilot app is now in technical preview. It’s a GitHub-native desktop experience to start agentic development from the work in front of you, keep it isolated, steer it…

^{Allison (The GitHub Blog)}

Spcnet.it

2026-05-20 19:00:27

Migrazione certificati Secure Boot in Windows 11: guida agli script PowerShell di KB5089549

Il contesto: perché i certificati Secure Boot stanno scadendo

Giugno 2026 non è solo una data sul calendario: è una scadenza critica per qualsiasi amministratore di sistema che gestisce parchi macchine Windows in ambienti enterprise. I certificati Secure Boot installati nella maggior parte dei dispositivi durante l’era di Windows 8 — quelli che fondano la catena di fiducia UEFI — inizieranno a scadere a partire da questo mese. La conseguenza più immediata: i dispositivi non aggiornati perderanno la capacità di ricevere nuove protezioni per il processo di avvio, inclusi aggiornamenti al Windows Boot Manager, alle revocation list DBX e alle patch per vulnerabilità di boot-level scoperte in futuro.

Microsoft ha risposto a questa urgenza con il Patch Tuesday di maggio 2026, introducendo l’aggiornamento cumulativo KB5089549 per Windows 11 (versioni 24H2 e 25H2). Oltre alle consuete correzioni di sicurezza, questa release porta con sé qualcosa di inedito: una nuova cartella C:\Windows\SecureBoot\ExampleRolloutScripts contenente sette script PowerShell pensati per automatizzare l’intera migrazione dei certificati Secure Boot nelle reti enterprise.

Cosa trovi nella cartella C:\Windows\SecureBoot

La cartella non contiene i certificati stessi, ma una suite di script PowerShell modulari, ben commentati e accompagnati da un file README.md e un CHANGELOG.txt. Microsoft la posiziona deliberatamente sotto C:\Windows — un segnale preciso: la gestione del Secure Boot diventa un’attività di manutenzione ordinaria del sistema operativo, non più un compito relegato a tool OEM o procedure manuali nei menu BIOS.

Gli script sono progettati per operare su flotte di macchine tramite Intune, WSUS o Configuration Manager. Vediamoli uno per uno.

1. Detect-SecureBootCertUpdateStatus.ps1

Questo script viene eseguito su ogni endpoint, tipicamente via Group Policy o come scheduled task distribuito. Raccoglie lo stato di Secure Boot, i valori di registro che tracciano l’avanzamento della migrazione certificati, i dettagli OEM e firmware, e gli entry rilevanti dell’Event Log. L’output è un file JSON scritto su un path di rete condiviso (e su un path locale di fallback), che serve come base dati per gli script successivi.

# Esempio di utilizzo base
.\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "\\server\SecureBootData"


2. Aggregate-SecureBootData.ps1

Consolida i file JSON prodotti dallo script di rilevamento in un unico report aggregato. Utile per costruire dashboard di stato, identificare dispositivi con certificati non aggiornati e pianificare le wave di deployment. Può essere eseguito dal management server con accesso alla condivisione di rete centralizzata.

3. Deploy-GPO-SecureBootCollection.ps1

Automatizza la creazione di una Group Policy Object che distribuisce lo script di raccolta dati (Detect-SecureBootCertUpdateStatus.ps1) come scheduled task su tutti i target dell’OU specificata. Riduce drasticamente il lavoro manuale nella fase di inventory.

4. Start-SecureBootRolloutOrchestrator.ps1

È il cuore della suite. Legge i dati aggregati, determina quali dispositivi sono pronti per l’aggiornamento, crea security group AD e una GPO dedicata, quindi avvia il deployment progressivo a wave esponenziali: prima 1 dispositivo, poi 2, poi 4 e così via. Se una wave registra errori firmware, il rollout si blocca automaticamente, impedendo la propagazione del problema al resto della flotta.

# Avvio orchestrato con 5% di dispositivi nel primo ring
.\Start-SecureBootRolloutOrchestrator.ps1 `
  -DataPath "\\server\SecureBootData" `
  -RingSize 0.05 `
  -DomainController "dc01.contoso.com"


5. Deploy-OrchestratorTask.ps1

Il processo di orchestrazione può durare settimane in ambienti di grandi dimensioni. Invece di mantenere aperta una sessione PowerShell su un management server, questo script installa l’orchestratore come Windows Scheduled Task, garantendo continuità anche in caso di riavvii o disconnessioni.

6. Get-SecureBootRolloutStatus.ps1

Permette di visualizzare lo stato corrente del rollout: quanti dispositivi sono stati aggiornati, quanti sono in attesa, quanti hanno riscontrato errori. Indispensabile per il monitoraggio durante fasi di deployment attive.

7. Enable-SecureBootUpdateTask.ps1

Script di remediation: se il task automatico di aggiornamento Secure Boot è stato disabilitato, eliminato o modificato (ad esempio da una policy di Configuration Manager), questo script lo ripristina allo stato predefinito, rimettendo in moto i dispositivi che non stanno progredendo.

Considerazioni pratiche prima di eseguire gli script

Microsoft descrive questi script come sample — implementazioni di riferimento, non soluzioni turnkey pronte per il produzione senza revisione. Prima di distribuirli, è necessario tenere a mente alcune criticità.

Esecuzione policy e script non firmati. Gli script sono unsigned. Prima di eseguirli, verificare che la execution policy di PowerShell lo permetta, oppure sbloccarli individualmente:

Unblock-File -Path "C:\Windows\SecureBoot\ExampleRolloutScripts\*.ps1"


BitLocker e Credential Guard. Le modifiche allo stato di Secure Boot possono innescare richieste di recovery BitLocker. Gli script includono un pre-check che sospende BitLocker sul volume di sistema prima della migrazione e lo riattiva al termine — ma è sempre buona norma avere le recovery key a portata di mano prima di avviare qualsiasi operazione.

Firmware OEM aggiornato. Prima di applicare la migrazione certificati, verificare che i dispositivi target abbiano il firmware UEFI più recente fornito dall’OEM. Alcuni modelli più datati potrebbero non supportare le variabili UEFI necessarie o potrebbero richiedere un aggiornamento firmware preventivo.

Ambienti di test obbligatori. Il rollout progressivo dell’orchestratore è già un meccanismo di sicurezza, ma Microsoft raccomanda comunque di testare gli script in un ambiente non produttivo con hardware rappresentativo prima di qualsiasi deployment su larga scala.

Integrazione con Intune e il report Autopatch

Per chi utilizza Windows Autopatch, l’Intune admin center ha ricevuto un aggiornamento del report Secure Boot Status che fornisce visibilità device-by-device sullo stato dei certificati in vista della scadenza di giugno. Il report mostra quali dispositivi hanno Secure Boot abilitato, se i certificati sono aggiornati, e se si applica il deployment automatico o manuale. Nuove colonne per trust configuration, confidence level e alert aiutano a prendere decisioni mirate anziché dover fare deployment generalizzati.

Conclusione

L’aggiornamento KB5089549 non è solo un Patch Tuesday ordinario: segna un passaggio importante nel modo in cui Microsoft concepisce la gestione della sicurezza firmware in ambienti enterprise. Collocare script PowerShell di migrazione Secure Boot direttamente in C:\Windows, con logging integrato sull’Event Log sotto il provider Microsoft-Windows-SecureBoot-Scripts e un changelog per le future versioni, è un chiaro segnale: il lifecycle management del Secure Boot diventa parte del normale ciclo di manutenzione dei sistemi Windows, esattamente come la gestione dei certificati TLS.

Per i sysadmin che devono affrontare la scadenza di giugno 2026, il punto di partenza è il portale ufficiale aka.ms/GetSecureBoot, dove Microsoft raccoglie tutta la documentazione aggiornata sulla migrazione. Il tempo di agire è adesso: inventariare i dispositivi, testare gli script in un ambiente controllato e pianificare le wave di deployment prima che la scadenza diventi un’emergenza.

---

Fonti: Neowin – KB5089549, Microsoft Support – Secure Boot Certificate Expiration, 4sysops – Windows 11 SecureBoot folder

Windows Secure Boot certificate expiration and CA updates - Microsoft Support

^aka.ms