Windows 11 22H2 e 23H2 un po' meno sicuri adesso: deprecata una feature di protezione

Microsoft ha deciso di deprecare le enclave VBS nelle versioni di Windows 11 precedenti alla 24H2, così come in Windows Server 2022 e versioni precedenti. Il risultato è che le versioni meno recenti di Windows 11 diventeranno meno sicure rispetto a quelle più recenti, creando una potenziale disparità nei livelli di protezione tra gli utenti che utilizzano diverse versioni del sistema operativo.

Cos'è la tecnologia VBS Enclaves e perché è importante

Le enclave VBS rappresentano un ambiente di esecuzione attendibile all'interno dello spazio indirizzi di un'applicazione host. Questa tecnologia sfrutta la sicurezza basata sulla virtualizzazione (VBS) per isolare parti sensibili di un'applicazione in una partizione sicura della memoria, proteggendole sia dall'applicazione host che dal resto del sistema.

In termini pratici, le enclave VBS creano livelli di fiducia virtuali (VTL), migliorando la sicurezza della memoria delle applicazioni. Quando un'applicazione utilizza un'enclave VBS, crea una separazione tra il mondo "normale" (VTL0) e un ambiente sicuro (VTL1). La maggior parte del codice e Windows stesso continuano a funzionare nel livello VTL0, mentre VTL1 viene utilizzato da una versione sicura del kernel di Windows, con una propria modalità utente isolata. Questa architettura garantisce che i dati sensibili e le operazioni critiche rimangano protetti anche in caso di compromissione del sistema operativo principale, rendendo molto più difficile per il malware accedere a informazioni riservate.

Microsoft non ha fornito spiegazioni dettagliate sul motivo di questa scelta, limitandosi ad annunciare che "le enclave VBS sono deprecate in Windows 11, versione 23H2 e versioni precedenti di Windows" e che "il supporto per le enclave VBS continuerà per Windows 11, versione 24H2 e successive". È importante notare che a gennaio 2025 Microsoft ha dovuto correggere la vulnerabilità CVE-2025-21370, un problema di elevazione dei privilegi locali proprio nelle enclave VBS.

Per gli utenti e le organizzazioni che utilizzano versioni precedenti di Windows 11, la deprecazione delle enclave VBS può rappresentare un potenziale problema di sicurezza. Le opzioni disponibili includono l'aggiornamento a Windows 11 versione 24H2 o l'implementazione di misure di sicurezza alternative. Microsoft tipicamente rimuove standard più vecchi per migliorare la sicurezza del suo software o ne introduce di nuovi e migliorati, ma in questo caso è normale chiedersi se le versioni di Windows coinvolte non siano fin troppo recenti e ancora parecchio utilizzate.