In seguito all’installazione dell’aggiornamento cumulativo KB5023706 per Windows 11 22H2, diversi utenti hanno segnalato la comparsa di un avviso che indica la disattivazione della protezione LSA (Local Security Authority), nonostante sia attiva. Microsoft ha ora confermato che il bug è invece dovuto all’update KB5007651 (versione 1.0.2302.21002) di Microsoft Defender.
Falso avviso di protezione LSA disattivata
L’aggiornamento di Microsoft Defender è stato distribuito insieme a quello di Windows 11 22H2 lo scorso 14 marzo. Al termine dell’installazione viene mostrato l’avviso di sicurezza “La protezione LSA è disattivata. Il dispositivo potrebbe essere vulnerabile“. La funzionalità è stata sviluppata per impedire il furto di informazioni sensibili (ad esempio le credenziali di login), bloccando il dumping della memoria e l’iniezione di codice infetto nel processo LSASS.
Microsoft ha confermato che il bug è stato introdotto con l’update KB5007651 (versione 1.0.2302.21002) di Microsoft Defender, non dall’aggiornamento KB5023706 per Windows 11 22H2 o KB5023698 per Windows 11 21H2. È possibile verificare se la protezione LSA è attiva nel Visualizzatore eventi, controllando che il livello di protezione sia 4.
In questo caso è possibile ignorare l’avviso di sicurezza. Si potrebbero anche aggiungere due chiavi al registro di sistema per rimuovere il messaggio, ma è un’operazione piuttosto delicata.
Microsoft consiglia agli utenti di attendere il rilascio di un fix, evitando ulteriori soluzioni temporanee (workaround). Già risolto invece il problema, introdotto con l’aggiornamento opzionale KB5022913 del 28 febbraio, che impediva di usare i tool di personalizzazione dell’interfaccia. In pratica è sufficiente installare le ultime versioni di ExplorerPatcher e StartAllBack.