Actualizarea de securitate din august 2025 de la Microsoft determină apariția neașteptată a solicitărilor User Account Control (UAC) și împiedică instalarea sau repararea anumitor aplicații pentru utilizatorii fără drepturi de administrator pe toate versiunile Windows suportate. Astfel, o corecție destinată să blocheze escaladarea privilegiilor s-a transformat într-o problemă cotidiană pentru companii și utilizatori, amintind de cazuri anterioare în care patch-urile au produs efecte secundare neanticipate.
Originea situației este o vulnerabilitate numită CVE-2025-50173, legată de Windows Installer, care permitea atacatorilor autentificați să obțină privilegii SYSTEM din cauza unei slăbiciuni în mecanismul de autentificare. Ca răspuns, Microsoft a introdus, prin actualizările din august (inclusiv KB5063878) și prin patch-urile ulterioare, o măsură de securitate: UAC solicită acum, în mai multe circumstanțe, acreditările unui administrator pentru operațiuni legate de Windows Installer. Scopul este clar: reducerea riscului ca un atacator să profite de procese automate pentru a obține privilegii mai mari. Este o abordare justificată din punct de vedere al securității, dar are consecințe practice neplăcute pentru utilizatorii standard.
Printre situațiile în care apar aceste solicitări se numără rularea comenzilor de repair pentru pachete MSI (de exemplu msiexec /fu), instalarea de aplicații care se configurează la nivel de utilizator și execuția Windows Installer în timpul Active Setup. Consecința directă este că unele aplicații nu mai pot efectua reparări MSI fără confirmarea unui administrator, iar dacă programul pornește un repair fără interfață, operațiunea eșuează cu eroare. Microsoft dă exemplul Office Professional Plus 2010 care, instalat și rulat de un utilizator standard, poate afișa Error 1730 în timpul configurării.
Modificarea afectează numeroase platforme, atât pe partea de client, cât și pe cea de server. Pe desktop includ Windows 11 (versiunile 24H2, 23H2, 22H2) și Windows 10 (22H2, 21H2, 1809, Enterprise LTSC 2019, LTSC 2016, 1607 și chiar Enterprise 2015 LTSB). În zona de server, lista cuprinde Windows Server 2025, Windows Server 2022, Windows Server 2019, 2016, 2012 R2 și 2012, precum și anumite versiuni 1809. Pe scurt, impactul este extins, iar administratorii de sistem trebuie să verifice compatibilitățile și fluxurile de lucru care implică instalări sau reparări la nivel de utilizator.
Practic, această politică de securitate a fost implementată intenționat: Microsoft a explicat în panoul de stare al lansărilor Windows că update-urile din august au forțat UAC să solicite acreditări când se efectuează operațiuni de tip Windows Installer repair și altele similare. Ca rezultat, aplicațiile care inițiază un repair MSI fără UI vor fi blocate. În plus, schimbarea oprește anumite scenarii administrative, cum ar fi distribuirea de pachete prin Configuration Manager bazate pe mecanisme de advertising orientate pe utilizator, activarea Secure Desktop în anumite situații și lansarea unor aplicații Autodesk, inclusiv versiuni specifice de AutoCAD, Civil 3D și Inventor CAM.
Microsoft dezvoltă o soluție care va permite administratorilor IT să autorizeze anumite aplicații pentru a efectua operațiuni de repair MSI fără a declanșa UAC. Această remediere va fi livrată într-un update viitor. Până atunci există soluții provizorii. Cel mai simplu sfat este să rulezi aplicațiile care folosesc Windows Installer cu privilegii de administrator: din meniul Start sau din rezultatele căutării, click dreapta pe aplicație și alege Run as administrator. E un workaround rezonabil, chiar dacă nu ideal, o soluție care necesită intervenție manuală sau drepturi sporite.
Dacă un utilizator nu poate rula aplicațiile ca administrator, alternativa este să solicite departamentului IT aplicarea unei politici specifice prin Known Issue Rollback (KIR). Microsoft recomandă contactarea echipei de suport pentru business pentru a primi pașii necesari și pentru a instala acea politică pe anumite versiuni: Windows 11 (22H2, 23H2, 24H2), Windows Server 2025, Windows Server 2022 și Windows 10 (21H2, 22H2). Practic, KIR oferă o posibilitate de a reveni temporar asupra modificării de comportament până la distribuirea unui patch definitiv.
Pe lângă problema UAC și MSI, actualizările din august 2025 au generat și alte neplăceri: Microsoft investighează un bug care cauzează lag și stuttering în software-ul de streaming NDI pe sisteme cu Windows 10 și Windows 11. Totodată, compania a declarat recent că nu a găsit o legătură între update-ul KB5063878 și sesizările privind pierderi sau corupere de date pe SSD-uri și HDD-uri, ceea ce ar putea liniști administratorii preocupați de integritatea stocării.
Miza rămâne echilibrul: protejarea împotriva escaladării privilegiilor este necesară, dar implementarea schimbă modul în care procedurile obișnuite funcționează pentru utilizatorii non-admin. Informațiile concrete din comunicare includ numărul KB al actualizării (KB5063878), eroarea de exemplu (Error 1730) și listele versiunilor Windows afectate, iar soluțiile propuse variază de la rularea ca administrator la KIR gestionat prin suportul Microsoft. Administratorii trebuie să urmărească distribuirea patch-urilor viitoare care promit autorizarea aplicațiilor pentru repair MSI, iar echipele interne de suport ar trebui să informeze clar utilizatorii finali cum pot continua activitatea fără a compromite securitatea organizației.
KB5063878 este menționată ca actualizarea care a modificat comportamentul UAC la operațiunile Windows Installer. Microsoft lucrează la o corecție ce va permite administrarea granulară a aplicațiilor afectate și la remedierea problemelor raportate cu NDI. Ce măsuri va adopta administratorul tău pentru a împăca securitatea cu funcționalitatea zilnică?
Interesant, dar cam enervant pentru birou — dacă patch-ul blochează repair-urile MSI fără vreo cale clară de excepție, o să avem valuri de tichete la IT; eu unul n-aș vrea să stau să cer drepturi de fiecare dată. Probabil soluția KIR e ok temporar, dar asta înseamnă dependență de suportul Microsoft și riscul de a rula rollback-uri pe sisteme critice, deci ar fi bine să vedem și un tool centralizat de whitelist pentru aplicații, nu doar workarounds manuale; btw, verificați log-urile Event Viewer pentru Error 1730 ca să identificați rapid ce se blochează. Și da, cine știe… poate nu e doar KB5063878, mai ales cu istoricul patch-urilor care au stricat chestii înainte, deci păstrați imagini/restores la îndemână, trust but verify 🙂