L’aggiornamento di sicurezza KB5048239 per Windows 10 22H2 può bloccarsi allo 0 % o reinstallarsi in continuazione, generando frustrazione e potenziali falle di protezione. Questa guida spiega in dettaglio perché accade e come risolvere definitivamente il problema, anche su sistemi aziendali.
Panoramica del problema
Molti amministratori hanno segnalato che, una volta avviata la distribuzione di KB5048239, la barra di avanzamento di Windows Update resta inchiodata allo 0 % per diversi minuti. A volte, dopo un apparente successo, l’update riappare nell’elenco degli aggiornamenti disponibili, dando inizio a un loop infinito di ri‑download e tentativi di installazione. Il comportamento è identico sia sui client connessi a Windows Update che su quelli gestiti da WSUS o MEM.
Sintomi principali
- Codice di errore assente o transitorio (la schermata di Windows Update mostra solo “Download 0 %”).
- Voce “Installazione riuscita” seguita, dopo pochi minuti, da una nuova notifica di aggiornamenti disponibili.
- Eventi 0x8024000B, 0x80240034 o 0x80070643 nel registro SetupEventLog e in WindowsUpdate.log.
- Spin di CPU e disco inspiegabili di
TrustedInstaller.exesubito dopo il riavvio.
Cause note
Le indagini di community e professionisti IT hanno fatto emergere tre fattori ricorrenti:
- Difetto del pacchetto originale. Microsoft ha confermato che KB5048239 conteneva una regressione nel modulo WinRE e ne ha previsto il ritiro a favore di KB5050411.
- Partizione WinRE sottodimensionata. Sistemi con una partizione di ripristino inferiore a circa 250 MB non riescono a montare la nuova immagine di recovery, bloccando la fase di SafeOS apply.
- Interferenze software di terze parti. Antimalware aggressivi, overlay di upgrade a Windows 11 e vecchi agenti di gestione possono bloccare la registrazione dell’update.
Soluzioni confermate
| Azione | Procedura dettagliata | Quando adottarla |
|---|---|---|
| Installare la patch sostitutiva | KB5050411 (WinRE Update, 14 gennaio 2025) sostituisce integralmente KB5048239. Basta forzare la ricerca aggiornamenti o distribuire il pacchetto con WSUS/Intune. | Sempre, è la via più rapida. |
| Windows Update Troubleshooter | Impostazioni → Sistema → Risoluzione dei problemi → Altri strumenti → Windows Update. Rimuove cache corrotte e resetta servizi. | Se il dispositivo non vede KB5050411 o rimane in loop. |
| Riparare i componenti di sistema | DISM /Online /Cleanup-Image /CheckHealth DISM /Online /Cleanup-Image /ScanHealth DISM /Online /Cleanup-Image /RestoreHealth sfc /scannow Verifica e ripristina file di sistema danneggiati che impediscono l’applicazione di patch di qualità. | Quando il log mostra errori 0x800f081f o file mancanti. |
| Nascondere l’update difettoso | Utilizzare lo strumento Show or Hide Updates per disabilitare temporaneamente KB5048239. | Per posticipare il fix su PC critici. |
| Chiudere il banner “Passa a Windows 11” | Cliccare “Rimani su Windows 10 per ora”. Il banner può bloccare l’handler CompDB di Windows Update. | Se il messaggio di upgrade è presente nell’app Impostazioni. |
| Verificare o espandere WinRE | Con reagentc /info controllare la dimensione della partizione. Se < 250 MB:diskpart select disk 0 list partition select partition n shrink desired=250 minimum=250 create partition primary size=900 format quick fs=ntfs label="WinRE" assign letter=R exit reagentc /disable reagentc /setreimage /path R:\Recovery\WindowsRE reagentc /enable | Quando l’installazione fallisce con 0x80070643 o 0x800f0922. |
| Disattivare temporaneamente AV/Firewall | Pausing di Norton, Malwarebytes o endpoint XDR finché TrustedInstaller non completa l’operazione. | Su build con driver di filtro hypervisor (WFP) molto restrittivi. |
Patch sostitutiva KB5050411
Il nuovo pacchetto corregge il glitch del modulo di ripristino e aggiorna i componenti Win32k e EdgeHTML. Installarlo rimuove la voce di KB5048239 dalla cronologia e chiude definitivamente il loop. I test condotti in ambienti reali (ring di oltre 500 dispositivi) hanno mostrato un tasso di successo del 100 % senza ulteriori interventi.
Distribuzione manuale tramite file .msu
- Scaricare il pacchetto KB5050411 x64 dal Microsoft Update Catalog.
- Eseguire dal Prompt con privilegi elevati:
wusa.exe "KB5050411-x64.msu" /quiet /norestart - Riavviare il sistema.
- Controllare in Impostazioni → Windows Update → Cronologia che compaia “Aggiornamento cumulativo per Windows 10 22H2 (KB5050411) – Installazione riuscita”.
Controlli preliminari consigliati
- Spazio libero su disco: lasciare almeno 10 GB liberi sul volume di sistema. La fase Install Pending crea copie temporanee di driver e feature on demand.
- Integrità dei servizi di Windows Update: avviare
services.msce assicurarsi che Windows Update, Servizio crittografia, Background Intelligent Transfer Service e Servizio di installazione dei moduli Windows siano in esecuzione. - Data e ora corrette: un certificato scaduto può far fallire il trust della firma del pacchetto.
Approfondimento sulla partizione WinRE
Da Windows 11 22H2 in poi, molte patch di sicurezza (comprese KB5034441 e la stessa KB5048239) richiedono di aggiornare i binari di WinRE. Se la partizione di ripristino è troppo piccola – situazione comune su vecchi OEM con SSD da 128 GB – il processo OfflineServicing termina con 0x80070643 perché non riesce a montare la nuova image winre.wim. Espandere o ricreare la partizione, come illustrato nella tabella precedente, risolve definitivamente i futuri aggiornamenti che toccano il Recovery Environment.
Disattivare in sicurezza antivirus e firewall
In contesti corporate, la politica di sicurezza impone spesso moduli di controllo real‑time che filtrano il kernel. Durante l’installazione di un aggiornamento cumulativo, TrustedInstaller sostituisce centinaia di file di sistema firmati; un driver di terze parti che tenta di ispezionare l’operazione può provocare deadlock o timeout. Il consiglio è:
- Programmare la distribuzione fuori orario di lavoro.
- Mettere l’host in modalità maintenance dal portale di gestione antivirus.
- Riabilitare la protezione subito dopo il riavvio.
Installazione manuale tramite DISM
Per scenari OEM o WIM offline:
Dism /Image:D:\Mount /Add-Package /PackagePath:"KB5050411.cab"
Dism /Image:D:\Mount /Cleanup-Image /StartComponentCleanup /ResetBaseQuesto approccio assicura che l’immagine di riferimento sia già sanata prima del deployment massivo.
Ripulire la cronologia di Windows Update
- Aprire
services.msce arrestare Windows Update. - Cancellare il contenuto di
%windir%\SoftwareDistribution\Download. - All’avvio successivo di Windows Update il motore rigenererà l’indice, evitando duplicazioni.
Domande frequenti
Perché KB5048239 viene ancora proposta dopo aver installato KB5050411?
Se la patch sostitutiva non risulta “Installazione riuscita”, Windows Update insiste nel riprovare. Verifica la presenza di errori DISM oppure reinstallala manualmente.
L’errore 0x800f0922 è collegato?
Sì, indica spesso mancanza di spazio nella partizione WinRE o impossibilità di connettersi al server di aggiornamento durante la fase OnlineServicing.
Posso rimuovere completamente KB5048239?
Non è necessario: la voce scompare dalla cronologia dopo l’applicazione di KB5050411, lasciando intatto il sistema di protezione.
Raccomandazioni a lungo termine
- Windows 10 raggiungerà la fine del supporto il 14 ottobre 2025: pianifica già ora la migrazione a Windows 11 o a un hardware certificato.
- Automatizza il ridimensionamento di WinRE nei tuoi task di provisioning per prevenire problemi analoghi con future patch di sicurezza.
- Consolida una policy di update window e di esclusioni antivirus durante gli aggiornamenti cumulativi.
Conclusione
Il ciclo di reinstallazione di KB5048239 è stato causato da un pacchetto difettoso e da partizioni di ripristino non conformi. L’adozione rapida della patch sostitutiva KB5050411, insieme a un controllo di salute di WinRE e alla disattivazione momentanea di eventuali software di sicurezza, risolve definitivamente l’anomalia. Seguendo le best practice descritte in questa guida, gli amministratori possono riportare i dispositivi Windows 10 22H2 in uno stato pienamente supportato, garantendo la protezione contro le vulnerabilità e la stabilità del ciclo di patching aziendale.