
Tajemniczy folder Inetpub: miecz obosieczny w zabezpieczeniach systemu Windows
Niedawno intrygujące odkrycie dotyczące folderu „inetpub” wzbudziło obawy wśród użytkowników systemu Windows. Podczas gdy wielu stwierdziło, że usunięcie tego folderu nie spowodowało żadnych natychmiastowych negatywnych skutków, Microsoft stanowczo odradza tę czynność.
Zrozumienie folderu Inetpub
Firma Microsoft wyjaśniła, że folder inetpub pojawił się po rozwiązaniu krytycznej luki w zabezpieczeniach związanej z eskalacją uprawnień dowiązań symbolicznych, zidentyfikowanej jako CVE-2025-21204, która została naprawiono w aktualizacjach Patch Tuesday dla systemów Windows 10 i Windows 11 z kwietnia 2025 r.
Czym są linki symboliczne?
Symlinks, czyli linki symboliczne, służą jako odniesienia do innych plików lub katalogów w systemie plików. Wskazują na określone ścieżki, umożliwiając szybki dostęp do powiązanej zawartości. Chociaż te linki usprawniają nawigację i organizację, stanowią również potencjalną lukę, ponieważ złośliwi aktorzy mogą je wykorzystać bez potrzeby posiadania podwyższonych uprawnień.
Nowe obawy dotyczące bezpieczeństwa
Pomimo poprawki mającej na celu usunięcie luk związanych z dowiązaniami symbolicznymi, badacz ds.bezpieczeństwa Kevin Beaumont odkrył kolejną niepokojącą wadę. Folder inetpub, który został utworzony jako część poprawki, nieumyślnie udostępnia użytkownikom bez uprawnień administratora ścieżkę do utrudniania aktualizacji systemu Windows poprzez tworzenie nowego dowiązania symbolicznego.
Wyjaśnienie exploita
W swojej analizie Beaumont zauważa:
Firma Microsoft niedawno załatała lukę CVE-2025–21204, która umożliwia użytkownikom nadużywanie dowiązań symbolicznych w celu podwyższenia uprawnień za pomocą stosu usług systemu Windows i folderu c:\inetpub.
Aby rozwiązać ten problem, firma Microsoft wstępnie utworzyła folder c:\inetpub na wszystkich komputerach Windows, począwszy od aktualizacji systemu Windows z kwietnia 2025 r.
Odkryłem jednak, że ta poprawka wprowadza lukę w zabezpieczeniach umożliwiającą odmowę usługi w stosie usług systemu Windows, umożliwiającą użytkownikom bez uprawnień administratora zatrzymanie wszystkich przyszłych aktualizacji zabezpieczeń systemu Windows.
…
Użytkownik bez uprawnień administratora może po prostu nacisnąć klawisze Windows+R, cmd, a następnie uruchomić:
mklink /j c:\inetpub c:\windows\system32\notepad.exe
Tworzy to dowiązanie symboliczne między c:\inetpub a notatnikiem. Po tym momencie aktualizacja systemu Windows z kwietnia 2025 r.(i przyszłe aktualizacje, chyba że Microsoft ją naprawi) nigdy się nie zainstalują — wyskakują błędy i/lub są wycofywane. Więc po prostu nie instalujesz aktualizacji zabezpieczeń.
Co dalej z Microsoftem?
Beaumont próbował skontaktować się z Microsoft Security Response Center (MSRC) w sprawie tego problemu, ale nie otrzymał jeszcze odpowiedzi. Prawdopodobnie Microsoft jest już świadomy tej nowej luki i może pracować nad kolejną poprawką, aby ją rozwiązać. Aktualizacje będą udostępniane w miarę pojawiania się informacji.
Aby uzyskać bardziej szczegółowe informacje i być na bieżąco, możesz sprawdzić oryginalny raport tutaj.
Dodaj komentarz