O actualizare recentă de securitate a Windows care creează un folder ‘inetpub’ a introdus o nouă vulnerabilitate care permite atacatorilor să împiedice instalarea actualizărilor viitoare.
După ce utilizatorii au instalat actualizările de securitate Microsoft Patch Tuesday din acest lună, utilizatorii Windows au descoperit brusc un folder ‘inetpub’ deținut de contul SYSTEM creat în rădăcina unității de sistem, de obicei unitatea C:.
A fost ciudat să vezi acest folder creat deoarece este folosit de obicei pentru a ține fișiere asociate serverului web Microsoft Internet Information Service, care nu era instalat pe aceste dispozitive.
Într-o actualizare a unei avertizări de securitate, Microsoft a confirmat ulterior că folderul C:\inetpub a făcut parte dintr-o soluție pentru o vulnerabilitate de ridicare a privilegiilor în Windows Process Activation urmărită ca CVE-2025-21204, compania avertizând să nu ștergeți folderul.
‘După ce instalați actualizările listate în tabelul Actualizărilor de Securitate pentru sistemul de operare, va fi creat un nou folder %systemdrive%\inetpub pe dispozitivul dvs.,’ a confirmat Microsoft.
‘Acest folder nu ar trebui șters indiferent dacă Internet Information Services (IIS) este activ pe dispozitivul țintă. Această comportare face parte din schimbările care cresc protecția și nu necesită nicio acțiune din partea administratorilor IT și a utilizatorilor finali.’
Cu toate acestea, expertul în securitate cibernetică Kevin Beaumont a demonstrat că acest folder poate fi exploatat pentru a împiedica instalarea ulterioară a actualizărilor Windows dacă este creat într-un anumit mod.
‘Am descoperit că această soluție introduce o vulnerabilitate de denegare a serviciului în stiva de servicii Windows care permite utilizatorilor non-administratori să oprească toate actualizările de securitate Windows viitoare,’ Kevin Beaumont.
Într-un nou raport, Beaumont spune că utilizatorii Windows, chiar și cei fără privilegii administrative, pot crea o joncțiune între C:\inetpub și un fișier Windows, cum ar fi C:\windows\system32\notepad.exe folosind următoarea comandă.
O joncțiune Windows este un tip special de folder care redirecționează accesul către un alt folder de pe același sau de pe un alt drive, făcând să pară că conținutul există în ambele locații.
Când a fost întrebat de ce această joncțiune împiedică actualizarea să fie instalată, Beaumont spune că crede că este pentru că actualizarea se așteaptă la un folder în loc de un fișier.
‘Funcționează practic cu orice fișier, cred că este pentru că stiva de servicii se așteaptă ca c:\inetpub să fie un director – dar mklink vă permite să faceți o joncțiune către un fișier,’ a spus Beaumont pentru BleepingComputer.
Conform documentației Microsoft, joncțiunile sunt destinate să fie legături între foldere și nu între fișiere. Cu toate acestea, așa cum puteți vedea din imaginea de mai sus în articol, este încă posibil să creați una, așa cum este arătat în imaginea de mai jos.
Cu această joncțiune creată, dacă încercați să instalați actualizarea de securitate din aprilie, nu se va instala corect, dând un cod de eroare 0x800F081F. Acest cod este legat de eroarea ‘CBS_E_SOURCE_MISSING,’ care înseamnă că un pachet sau un fișier nu a fost găsit.
Beaumont spune că a raportat eroarea către Microsoft, care i-a atribuit o clasificare de severitate ‘Medie’ și i-a închis cazul, declarând că vor lua în considerare repararea acesteia în viitor.
‘După o investigație atentă, acest caz este evaluat în prezent ca o problemă de severitate moderată,’ a trimis Microsoft un email lui Beaumont.
‘Nu îndeplinește standardele actuale ale MSRC pentru servisarea imediată deoarece actualizarea nu se aplică decât dacă folderul ‘inetpub’ este o joncțiune către un fișier și reușește după ștergerea simlink-ului inetpub și reîncercarea.’
BleepingComputer a contactat, de asemenea, Microsoft cu privire la această eroare miercuri, dar nu a primit încă un răspuns.
Leave a Reply