
神秘的 Inetpub 文件夹:Windows 安全中的双刃剑
最近,关于“inetpub”文件夹的一个有趣发现引起了 Windows 用户的担忧。虽然许多人发现删除此文件夹不会立即产生任何不良影响,但微软强烈建议不要这样做。
了解 Inetpub 文件夹
微软澄清说,inetpub 文件夹是在解决了与符号链接权限提升相关的严重安全漏洞(编号为 CVE-2025-21204)后出现的,该漏洞已在 2025 年 4 月针对 Windows 10 和 Windows 11 的补丁星期二更新中得到解决。
什么是符号链接?
符号链接 (Symlink) 是指向文件系统中其他文件或目录的引用。它们指向特定路径,方便快速访问相关内容。虽然这些链接增强了导航和组织功能,但也存在潜在的漏洞,因为恶意攻击者无需提升权限即可利用它们。
新的安全隐患
尽管该补丁旨在修复与符号链接相关的漏洞,但安全研究员 Kevin Beaumont 又发现了另一个令人担忧的漏洞。作为修复程序的一部分创建的 inetpub 文件夹,无意中为非管理员用户提供了通过创建新符号链接来阻止 Windows 更新的途径。
漏洞解释
博蒙特在他的分析中指出:
微软最近修补了 CVE-2025-21204,该漏洞允许用户滥用符号链接,通过 Windows 服务堆栈和 c:\inetpub 文件夹来提升权限。
为了解决这个问题,微软从 2025 年 4 月的 Windows 操作系统更新开始在所有 Windows 系统上预先创建了 c:\inetpub 文件夹。
但是,我发现此修复程序在 Windows 服务堆栈中引入了拒绝服务漏洞,允许非管理员用户停止所有未来的 Windows 安全更新。
…
因此非管理员用户只需执行 Windows+R、cmd,然后运行:
mklink /j c:\inetpub c:\windows\system32\notepad.exe
这会在 c:\inetpub 和 notepad 之间创建一个符号链接。此后,2025 年 4 月的 Windows 操作系统更新(以及未来的更新,除非微软修复此问题)将无法安装——它们会出错和/或回滚。所以你只能继续使用没有安全更新的版本。
微软下一步计划是什么?
Beaumont 已尝试就此问题联系微软安全响应中心 (MSRC),但尚未收到回复。微软很可能已经意识到这个新漏洞,并可能正在开发后续补丁来修复它。一旦有相关信息,我们将及时提供更新。
如需更详细的见解并随时了解最新信息,您可以在此处查看原始报告。
发表回复