Scansioni di sicurezza recenti hanno evidenziato vulnerabilità critiche in Paint 3D, 3D Builder e Print 3D: se non vengono aggiornate o disinstallate, queste app di sistema possono consentire l’esecuzione di codice remoto. Di seguito trovi la guida completa – e pratica – per metterti al sicuro.
Perché Paint 3D, 3D Builder e Print 3D sono un rischio oggi
Le tre utility 3D incluse in varie build di Windows 10 e Windows 11 non ricevono più manutenzione regolare tramite Microsoft Store. Le versioni più datate contengono librerie non patchate (DirectComposition, HelixToolkit, runtime 3MF) la cui esposizione è stata catalogata in advisory pubblici:
- Paint 3D 6.1907.29027.0 e precedenti
- 3D Builder ≤ 18.0.1931.0
- Print 3D 3.3.311.0
Scanner come Nessus, Qualys e Rapid7 le classificano a rischio High per possibili attacchi RCE (Remote Code Execution) quando un file 3MF o FBX malevolo è aperto da un utente con privilegi elevati.
Strategia di mitigazione: aggiornare o rimuovere?
Ogni organizzazione – o utente avanzato – può scegliere tra due linee d’azione:
- Aggiornare manualmente: consigliato se si desidera conservare le funzionalità 3D.
- Rimuovere completamente: più rapido e definitivo, riduce la superficie d’attacco.
Paint 3D – come procedere in sicurezza
Aggiornare manualmente Paint 3D
Lo Store non distribuisce più aggiornamenti; occorre quindi installare un pacchetto offline più recente (esempio: 6.2408.2027.0).
- Scarica l’AppxBundle da un repository affidabile (portale Microsoft, WSUS offline o backup interno).
- Verifica hash SHA‑256 e firma digitale: solo i pacchetti firmati da Microsoft devono essere considerati validi. Un controllo con VirusTotal aggiunge un ulteriore livello di sicurezza.
- Installa da PowerShell aperto come amministratore:
Add-AppxPackage .\Microsoft.MSPaint_<versione>.AppxBundle - Dipendenze: se richiesto, installa prima
Microsoft.VCLibs.140.00x86/x64eMicrosoft.UI.Xaml.2.x. Questi package sono reperibili nello stesso canale ufficiale del bundle principale.
Rimuovere Paint 3D e i suoi residui
- Apri PowerShell con privilegi elevati e lancia:
get-appxpackage Microsoft.MSPaint -allusers | remove-appxpackage -allusers - Assicurati che il comando non restituisca errori; verifica con:
get-appxpackage Microsoft.MSPaint -allusers - Se la cartella
C:\Program Files\WindowsApps\Microsoft.MSPaint_*persiste, disattiva l’ereditarietà NTFS o riavvia in WinRE, quindi eliminala manualmente. Rimuovere file bloccati a sistema acceso può causare inconsistenza nei manifest.
3D Builder – vulnerabilità e rimozione passo‑passo
Le versioni ≤ 18.0.1931.0 presentano diverse CVE legate alla gestione di texture SVG compresse, sfruttabili per RCE.
- Esegui la disinstallazione per ogni utenza:
get-appxpackage 3dbuilder -allusers | remove-appxpackage -allusers - Il comando deve restituire nessun output. Se compaiono righe con
PackageFullName, significa che alcuni account locali o di dominio mantengono ancora il pacchetto: ripeti l’operazione su quei profili. - Conferma a livello file system:
dir "C:\Program Files\WindowsApps\Microsoft.3DBuilder*" /aL’output “File not found” certifica la rimozione completa. - Riavvia Windows, quindi riesegui lo scanner di sicurezza per ottenere un report aggiornato.
Print 3D – migrare a una soluzione più sicura
Perché Print 3D è deprecato
Dalla fine del 2023 Microsoft ha ufficialmente abbandonato Print 3D a favore di 3D Builder ≥ 3.3.791, lasciando la build 3.3.311.0 senza patch. Questa release contiene un parser OBJK che può causare buffer overflow.
Rimozione consigliata
get-appxpackage Print3D -allusers | remove-appxpackage -allusersMigrazione a 3D Builder
- Se lo Store è abilitato, installa la versione corrente di 3D Builder direttamente dal catalogo ufficiale.
- In ambienti con Store disattivato, utilizza un
.AppxBundlefirmato e ripeti le stesse fasi di verifica hash/firmware viste per Paint 3D.
Buone pratiche per aggiornare o disinstallare Appx in sicurezza
| Azione | Dettagli operativi |
|---|---|
| Backup | Crea un punto di ripristino o un’immagine completa prima di modificare i componenti integrati di Windows. |
| PowerShell amministrativo | Comandi come get-appxpackage, remove-appxpackage e Add-AppxPackage richiedono privilegi elevati. |
| Verifica post‑operazione | Dopo ogni modifica, avvia di nuovo lo scanner (Nessus o equivalente) e conferma che il pacchetto non risulti più vulnerabile. |
| Dipendenze | In assenza di Microsoft Store, scarica manualmente VCLibs e UI.Xaml nella stessa versione e architettura. |
| Origine sicura | Preferisci sempre file provenienti da server Microsoft firmati; in alternativa controlla firma digitale e SHA‑256. |
Dopo la rimozione l’advisory persiste? Ecco perché
Molti engine di scanning basano il rilevamento sul numero di versione presente nei metadati del pacchetto, memorizzato nel database interno. Se la rimozione avviene a caldo, alcuni file di log rimangono nella cache e lo strumento riporta ancora la vulnerabilità. In tal caso:
- Esegui un riavvio completo del sistema (shutdown /g /t 0).
- Rimuovi la cartella
%ProgramData%\Tenable\cache(o directory equivalente per lo scanner utilizzato). - Lancia una nuova scansione; solo ora il risultato rifletterà lo stato attuale del sistema.
Domande frequenti
Posso lasciare Paint 3D in blocco applicando ACL più restrittive?
In teoria sì, limitando l’esecuzione solo a utenti non privilegiati, ma non elimina il problema RCE; un attacco che sfrutta un file 3MF può comunque compromettere l’account loggato. L’aggiornamento o la rimozione restano le soluzioni raccomandate.
È sicuro affidarsi a repository di terze parti per gli Appx?
Solo se:
- Il pacchetto è firmato con certificato Microsoft Software Publisher.
- Il checksum corrisponde a quello pubblicato sui canali ufficiali (quando ancora disponibili).
- Il file passa un controllo multi‑engine (VirusTotal) senza flag critici.
Come automatizzare la disinstallazione su più macchine?
Puoi incorporare il comando remove-appxpackage in uno script PowerShell distribuito via Intune, GPO o System Center Configuration Manager. Aggiungi:
Start-Transcript -Path C:\Logs\AppxRemoval.log -Appendper generare un log centralizzato utile in fase di audit.
Conclusioni
Togliere di mezzo versioni obsolete di Paint 3D, 3D Builder e Print 3D è oggi un intervento di hardening essenziale, soprattutto in ambienti aziendali. Aggiornare manualmente o rimuovere completamente i pacchetti garantisce la chiusura delle falle RCE, riducendo la superficie d’attacco di Windows. Seguendo le procedure e le buone pratiche illustrate, l’operazione richiede pochi minuti e previene potenziali compromissioni molto più costose da gestire a posteriori.