Actualizarea de securitate Microsoft din august 2025 a generat mai multă agitație decât era de așteptat: utilizatorii fără drepturi de administrator au început să primească neașteptate ferestre UAC care solicitau acreditările admin, iar instalarea unor aplicații a devenit problematică pe multe versiuni de Windows, atât pe calculatoare personale, cât și pe servere. Cauza a fost un patch destinat să rezolve o vulnerabilitate de escaladare a privilegiilor în Windows Installer, cunoscută sub denumirea CVE-2025-50173, care ar fi putut permite unui atacator autentificat să obțină privilegii SYSTEM.
Pe scurt, contextul tehnic e clar: pentru a bloca acest vector de atac, Microsoft a introdus mai multe solicitări UAC în situații în care anterior nu apăreau, astfel încât operațiunile sensibile să ceară autentificare administrativă. Din păcate, măsura a fost aplicată prea larg și a făcut ca prompturile să apară și în momente nedorite, de exemplu la instalarea pachetelor MSI, la activarea Secure Desktop sau la rularea comenzilor de repair pentru MSI. Intenția a fost corectă, rezultatul a devenit enervant.
Lista sistemelor afectate era extinsă: printre clienți se aflau versiunile Windows 11 24H2, 23H2 și 22H2, precum și Windows 10 în mai multe variante, inclusiv 22H2, 21H2, 1809, versiunile Enterprise LTSC 2019, 2016 și chiar ediții mai vechi precum 1607 și 2015 LTSB. Pe partea de servere, patch-ul a influențat Windows Server 2025, 2022, 2019, 2016, 2012 R2, 2012 și variantele 1809. Practic, mulți utilizatori au putut observa simptome, în funcție de configurație.
Răspunsul Microsoft a venit în actualizarea de securitate din septembrie 2025 și în versiunile ulterioare: aria în care se solicitau prompturi UAC pentru operațiunile de repair ale MSI a fost restrânsă. După instalarea actualizării respective, UAC va apărea pentru repair doar dacă fișierul MSI conține un custom action elevat. În plus, administratorii IT primesc un instrument de control: pot dezactiva prompturile UAC pentru anumite aplicații prin includerea fișierelor MSI pe o allowlist.
Implementarea allowlist-ului se realizează prin registrul de sistem: sunt introduse două chei noi, SecureRepairPolicy și SecureRepairWhitelist, sub HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller. Microsoft a descris pașii într-un document de suport, astfel încât echipele IT să poată proteja mediile critice fără a afecta funcționalitatea obișnuită a aplicațiilor care rulează reparații MSI necesare.
Pe lângă problema UAC, patch-urile din august 2025 au cauzat și un alt bug semnificativ: întârzieri mari și sacadări la utilizarea software-ului NDI pentru streaming pe Windows 10 și Windows 11. Această situație a fost, de asemenea, abordată prin actualizările ulterioare, pentru a restabili performanța aplicațiilor de streaming dependente de NDI.
Remediile urmăresc un echilibru între securitate și funcționalitate. Pe de o parte, corectarea CVE-2025-50173 a fost necesară pentru a închide o posibilă cale de escaladare a privilegiilor; pe de altă parte, introducerea unor solicitări UAC în exces a afectat fluxul de lucru al utilizatorilor non-admin și managementul aplicațiilor în organizații. Soluția Microsoft, limitarea prompturilor UAC la cazurile reale de risc și oferirea unei allowlist administrabile, reprezintă un compromis practic: nu toți administratorii vor dori să modifice registrul, dar mulți vor prefera asta în locul ferestrelor de autentificare care apar când nu trebuie.
Exemple concrete din relatare: CVE-2025-50173 a fost cauza inițială, actualizarea din septembrie 2025 a redus aria de aplicare a UAC pentru operațiunile MSI repair, iar cheile de registru SecureRepairPolicy și SecureRepairWhitelist sunt instrumentele puse la dispoziție pentru a regla comportamentul. Rămâne esențial ca echipele IT să consulte documentația Microsoft înainte de a aplica modificări și să testeze schimbările în medii controlate, mai ales când sunt implicate servere precum Windows Server 2022 sau 2019 și clienți în producție precum Windows 11 24H2. Cum ai proceda tu dacă ai administra sisteme în care apar astfel de prompturi neașteptate?
Fii primul care comentează