KB500 7651 in loop: cause, soluzioni e strategie definitive per fermare l’aggiornamento di Windows Defender

Sul forum Microsoft continuano a moltiplicarsi i casi in cui l’aggiornamento “Aggiornamento per la piattaforma di sicurezza di Windows – KB500 7651” viene scaricato, dichiarato “installato” e riproposto a ogni nuova ricerca di Windows Update. Di seguito trovi un’analisi completa del bug e tutte le soluzioni sperimentate, con istruzioni passo‑passo.

Indice

Perché l’aggiornamento KB500 7651 entra in loop

KB500 7651 è un pacchetto di manutenzione che aggiorna il Microsoft Defender Antimalware Platform. In condizioni normali Windows Update verifica la versione dei binari firmati (ad esempio MpCmdRun.exe) e, se rileva un numero di build inferiore, installa il nuovo pacchetto. Nel caso di questo KB, Windows conclude l’installazione con codice di successo (0x0), ma al riavvio una discrepanza fra la firma digitale archiviata nel catalogo e quella effettivamente presente sui file installed render fa fallire la verifica di coerenza: il sistema interpreta l’esito come “installazione non completata” e ripropone l’update.

Come riconoscere il problema

  • Windows Update mostra KB500 7651 come “Installazione in corso” ogni volta che esegui “Verifica disponibilità aggiornamenti”.
  • Dopo il riavvio non c’è traccia dell’update in Impostazioni → Windows Update → Cronologia aggiornamenti → Aggiornamenti installati.
  • Tool di terze parti (es. Norton 360, CCleaner) continuano a segnalare l’aggiornamento come “mancante”.
  • Nel CBS.log o nei log di Windows Update si legge: “Installazione completata – success (Pending)” seguita da un nuovo download del pacchetto al ciclo successivo.

Analisi tecnica della causa

Le indagini condotte dalla community indicano che la radice del problema risiede in:

  1. Un’incongruenza fra il numero di versione segnalato dal pacchetto e quello effettivamente scritto nel registro di Defender (HKLM\SOFTWARE\Microsoft\Windows Defender\Platform).
  2. Una firma digitale SHA‑256 non correttamente associata al file mssense.exe; di conseguenza, l’hash di conferma ricavato da Windows Update non coincide con quello previsto dal catalogo.
  3. La logica di detection di Windows Update, la quale utilizza la chiave di registro e il valore dell’hash per determinare se un aggiornamento è “Applied” (Applicato) o “Not Applied”.

Sebbene il caso sia stato segnalato più volte a Microsoft sin dal 2022, a oggi (luglio 2025) non è stato diffuso un hotfix risolutivo e il problema si ripresenta con le build 10.0.27703.1006, 10.0.27777.1008 e successive.

Soluzioni e work‑around sperimentati

ApproccioCome si faProContro
Nascondere l’update con l’utilità Microsoft “Show or Hide Updates”Scarica il file wushowhide.diagcab dal sito Microsoft, avvialo, seleziona “Hide updates”, spunta KB500 7651 e conferma.Semplice, ufficiale, blocca l’update incriminato senza toccare altro.L’aggiornamento resta non installato; la causa sottostante non viene rimossa.
Usare Windows Update MiniToolScarica la versione portable da un repository affidabile (es. MajorGeeks), scegli la voce KB500 7651, fai clic su “Hide” o deselezionala durante le installazioni cumulative.Interfaccia avanzata, utile anche per ispezionare altri KB problematici.Software di terze parti, attenzione a download non ufficiali e adware.
Ignorare l’avviso nei software di terze partiDisattiva la notifica in Norton/CCleaner o crea un filtro esclusione per KB500 7651.Elimina i popup ripetitivi, zero impatto sul sistema.È solo una mitigazione visiva; l’anomalia resta.
Installazione manuale di una build più recente di DefenderVisita il Catalogo Microsoft, cerca “Microsoft Defender Platform update”, scarica la build successiva per la tua architettura (x64/ARM64) ed esegui il file .msu offline.Può riallineare completamente la versione di Defender e fermare il ciclo.Richiede di individuare il pacchetto esatto; non funziona se il bug è nel meccanismo di detection.
Reset dei componenti di Windows UpdateApri Prompt dei comandi come amministratore, esegui:
net stop wuauserv
net stop bits
ren %windir%\SoftwareDistribution SoftwareDistribution.bak
ren %windir%\system32\catroot2 catroot2.bak
net start bits
net start wuauserv
Risolve datastore corrotti o download incompleti.Procedura manuale; se il pacchetto porta con sé la firma errata, il loop si ripresenta al riavvio successivo.

Procedura consigliata (best practice)

  1. Applica la soluzione di blocco temporaneo
    Lo strumento Show or Hide Updates è la via più rapida e totalmente reversibile. In caso di nuova release corretta potrai semplicemente riaprire l’utility e scegliere “Show hidden updates”.
  2. Mantieni Defender aggiornato
    Il loop interessa solo la piattaforma (motore), non le detection definition updates che continuano a fluire più volte al giorno. Non c’è impatto sulla protezione in tempo reale.
  3. Verifica periodicamente
    Una volta al mese apri Windows Update e rimuovi il blocco per controllare se Microsoft ha rilasciato un pacchetto sostitutivo con numero di build superiore (es. 10.0.279xx.xxx). Se l’installazione va a buon fine, il problema è risolto.

Istruzioni dettagliate: nascondere KB500 7651 con wushowhide.diagcab

  1. Cerca “wushowhide” nel sito Microsoft; il file è firmato digitalmente da Microsoft Corporation.
  2. Esegui il .diagcab e seleziona “Hide updates”.
  3. Spunta la casella accanto a Aggiornamento per la piattaforma di sicurezza di Windows – KB500 7651.
  4. Conferma e chiudi l’utility. L’update non verrà più proposto finché non lo “scopri” manualmente.

Come installare manualmente una build più recente

Se preferisci risolvere alla radice senza attendere un fix, puoi tentare l’installazione side‑load di una build successiva di Defender:

  1. Apri il Microsoft Update Catalog e digita il numero completo del pacchetto, ad esempio “Microsoft Defender antimalware platform 10.0.27827.1012”.
  2. Verifica l’architettura (x64 per Windows 10/11 a 64 bit, ARM64 per Surface Pro X e simili).
  3. Scarica il file .msu e copialo in una cartella locale.
  4. Disconnetti la rete (per evitare che Windows Update interferisca).
  5. Apri il Prompt come amministratore e lancia il pacchetto: wusa.exe <percorso>\defender.msu /quiet /norestart.
  6. Riavvia il PC e, una volta riattivata la rete, esegui una ricerca aggiornamenti: se non compare più KB500 7651, l’installazione ha avuto successo.

Nota bene: non tutte le build più alte risolvono il problema, perché la discrepanza d’hash potrebbe persistere. In tal caso torna al piano A (nascondere l’update).

Ripristinare i componenti di Windows Update

Se sospetti che il tuo datastore sia danneggiato (errori 0x800f081f o simili nella cronologia), il reset dei componenti Windows Update è sempre un buon colpo di scopa. Ricordati di:

  • Eseguire il backup di %windir%\SoftwareDistribution prima di rinominarla, nel caso ti serva il registro dei download precedenti.
  • Controllare i servizi CryptSvc, TrustedInstaller e Winmgmt; se sono in uno stato inconsistente, riavviali.
  • Rieseguire sfc /scannow e DISM /Online /Cleanup‑image /Restorehealth per eliminare eventuali corruzioni dei file di sistema.

Domande frequenti (FAQ)

Il PC è a rischio finché KB500 7651 non si installa?

In linea di massima no. Le firme antimalware vengono distribuite tramite canale dedicato (Security Intelligence Update) indipendente dal motore. Finché ricevi regolarmente le definizioni, la protezione in tempo reale resta efficace.

KB500 7651 compare in loop anche su Windows Server?

Sì, sono stati segnalati casi su Windows Server 2016 e 2019 con ruolo di file server o domain controller. Le soluzioni descritte (hide o installazione manuale) funzionano allo stesso modo.

Il problema riguarda anche chi usa antivirus di terze parti?

Se l’antivirus di terze parti disattiva completamente Defender (policy DisableAntiSpyware=1), l’update non dovrebbe essere proposto. Tuttavia alcuni prodotti lasciano attivi i servizi base di Defender per la scansione periodica: in quel caso il loop si manifesta.

Posso disinstallare manualmente KB500 7651?

Poiché l’aggiornamento non risulta realmente installato, non esiste voce di disinstallazione. Le uniche strade sono l’occultamento o l’installazione di una build più recente.

Monitorare la situazione: cosa aspettarsi da Microsoft

Storicamente, bug analoghi (ad esempio KB4052623 nel 2018‑2019) sono stati risolti attraverso la pubblicazione di un pacchetto con numero di build incrementato e firma corretta. È verosimile che Microsoft replichi lo stesso schema: quando sarà disponibile un nuovo Defender Platform Update con build > 10.0.27900, il detection logic di Windows Update riconoscerà la versione come “più recente” e l’installazione andrà a buon fine, terminando il loop.

Consigliato:

  • Iscriviti alle note di rilascio di Microsoft Defender Update for Endpoint.
  • Verifica i tick channel mensili (General Availability Channel) in cui vengono annunciati gli aggiornamenti di piattaforma.
  • Appena un nuovo pacchetto appare nel Catalogo, testa su un PC non critico e, se risolve l’anomalia, distribuiscilo in produzione.

Conclusioni

Il loop di installazione di KB500 7651 è più fastidioso che pericoloso. Finché non arriva un fix ufficiale, la soluzione più semplice resta nascondere l’update con lo strumento Microsoft dedicato, assicurandoti comunque che le firme antimalware vengano aggiornate regolarmente. Se sei un amministratore di sistemi e desideri una soluzione più radicale, sperimenta l’installazione manuale di una build più recente di Defender; in ogni caso monitora i canali di rilascio Microsoft, pronto a rimuovere il blocco quando arriverà il pacchetto corretto.

Indice