Microsofts „inetpub“-Verzeichnis ermöglicht es Hackern, Windows-Updates auf PCs dauerhaft zu deaktivieren

Microsofts „inetpub“-Verzeichnis ermöglicht es Hackern, Windows-Updates auf PCs dauerhaft zu deaktivieren

Der mysteriöse Inetpub-Ordner: Ein zweischneidiges Schwert der Windows-Sicherheit

Kürzlich hat eine interessante Entdeckung im Zusammenhang mit dem Ordner „inetpub“ bei Windows-Nutzern für Besorgnis gesorgt. Obwohl viele Nutzer das Löschen dieses Ordners als wirkungslos einstuften, rät Microsoft dringend davon ab.

Grundlegendes zum Inetpub-Ordner

Microsoft stellte klar, dass der Ordner „inetpub“ nach der Behebung einer kritischen Sicherheitslücke im Zusammenhang mit der Privilegienerweiterung symbolischer Links (identifiziert als CVE-2025-21204) entstanden ist, die in den Patch Tuesday-Updates vom April 2025 für Windows 10 und Windows 11 behoben wurde.

Was sind symbolische Links?

Symlinks, auch symbolische Links genannt, dienen als Verweise auf andere Dateien oder Verzeichnisse innerhalb eines Dateisystems. Sie verweisen auf bestimmte Pfade und ermöglichen so den schnellen Zugriff auf zugehörige Inhalte. Obwohl diese Links die Navigation und Organisation verbessern, stellen sie auch eine potenzielle Schwachstelle dar, da böswillige Akteure sie ohne erhöhte Berechtigungen ausnutzen können.

Ein neues Sicherheitsproblem

Trotz des Patches, der die mit Symlinks verbundenen Schwachstellen beheben sollte, hat Sicherheitsforscher Kevin Beaumont eine weitere beunruhigende Schwachstelle entdeckt. Der im Rahmen des Fixes erstellte Ordner „inetpub“ bietet Benutzern ohne Administratorrechte unbeabsichtigt die Möglichkeit, Windows-Updates durch die Erstellung eines neuen Symlinks zu behindern.

Erklärung des Exploits

In seiner Analyse stellt Beaumont fest:

Microsoft hat vor Kurzem CVE-2025–21204 gepatcht, eine Sicherheitslücke, die es Benutzern ermöglicht, symbolische Links zu missbrauchen, um ihre Berechtigungen mithilfe des Windows-Wartungsstapels und des Ordners c:\inetpub zu erhöhen.

Um dies zu beheben, erstellt Microsoft ab den Windows-Betriebssystemupdates vom April 2025 den Ordner c:\inetpub auf allen Windows-Systemen.

Ich habe jedoch festgestellt, dass dieser Fix eine Denial-of-Service-Sicherheitslücke im Windows-Wartungsstapel einführt, die es Nicht-Administratoren ermöglicht, alle zukünftigen Windows-Sicherheitsupdates zu stoppen.

Ein Benutzer ohne Administratorrechte kann also einfach Windows+R, cmd drücken und dann Folgendes ausführen:

mklink /j c:\inetpub c:\windows\system32\notepad.exe

Dadurch wird ein symbolischer Link zwischen c:\inetpub und Notepad erstellt. Danach können das Windows-Betriebssystem-Update vom April 2025 (und zukünftige Updates, sofern Microsoft es nicht behebt) nicht mehr installiert werden – es kommt zu Fehlern und/oder einem Rollback. Sie müssen also einfach auf Sicherheitsupdates verzichten.

Was kommt als Nächstes für Microsoft?

Beaumont hat versucht, sich bezüglich dieses Problems an das Microsoft Security Response Center (MSRC) zu wenden, hat jedoch bisher keine Antwort erhalten. Microsoft ist sich dieser neuen Sicherheitslücke wahrscheinlich bereits bewusst und arbeitet an einem entsprechenden Patch. Updates werden bereitgestellt, sobald Informationen verfügbar sind.

Um detailliertere Einblicke zu erhalten und auf dem Laufenden zu bleiben, können Sie den Originalbericht hier einsehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert