Недавно компания Microsoft создала в Windows пустую папку inetpub и попросила пользователей не удалять ее, так как она предотвращает эксплуатацию уязвимости.
Однако ИБ-специалисты пишут, что с помощью этой папки злоумышленники могут предотвратить установку обновлений.
После установки апрельских обновлений Windows многие пользователи появившуюся в системе пустую папку C:\inetpub. Обычно эта папка используется Microsoft Internet Information Services (IIS), однако после установки накопительных обновлений пользователи обнаруживали папку inetpub, даже если IIS при этом не устанавливался.
Хотя удаление папки не вызывало никаких проблем в работе Windows, представители Microsoft поспешили сообщить, что пустая папка была создана намеренно, и ее не следует удалять. При этом апрельские накопительные обновления не будут установлены, если создать C:\inetpub заранее, до их установки.
Тогда разработчики Microsoft обновили бюллетень безопасности, связанный с уязвимостью повышения привилегий в Windows Process Activation ( ), чтобы сообщить пользователям о пользе пустой папки inetpub.
Успешная эксплуатация упомянутой уязвимости CVE-2025-21204 позволяет локальным злоумышленникам с низкими привилегиями повысить свои права, «выполнять или манипулировать операциями управления файлами на машине-жертве в контексте учетной записи NT AUTHORITY\SYSTEM». Судя по всему, Windows Update может следовать символическим ссылкам, и это позволяет локальным злоумышленникам получать доступ к файлам и папкам, а также изменить их.
В компании не объяснили, как именно пустая папка inetpub связана с защитой от CVE-2025-21204. Учитывая, что папка создается с доступом на уровне SYSTEM только для чтения, очевидно, она призвана защитить от некой формы эксплуатации этого бага повышения привилегий, но детали не были раскрыты публично.
Как теперь сообщил известный ИБ-эксперт (Kevin Beaumont), этой папкой можно злоупотреблять, чтобы предотвратить установку последующих обновлений Windows.
По словам эксперта, пользователи Windows, не имеющие привилегий администратора, могут создать точку соединения (junction) между C:\inetpub и файлом Windows, например C:\windows\system32\notepad.exe, с помощью следующей команды: mklink /j c:\inetpub c:\windows\system32\notepad.exe.
В Windows junction представляет собой особый тип папки, который перенаправляет доступ к другой папке на том же или другом диске, создавая впечатление, что содержимое присутствует в обоих местах. При этом, согласно , точки соединений должны представлять собой ссылки между папками, а не между файлами. Однако предложенный исследователем вариант все равно возможен.
Бомонт объясняет, что в данном случае создание такой точки соединения мешает установке обновлений. По его словам, это происходит из-за того, что обновление ожидает папку, а не файл:
После создания такой точки соединения, попытка установки апрельского обновления безопасности завершится некорректно, приводя к ошибке 0x800F081F: CBS_E_SOURCE_MISSING, что означает, что пакет или файл не найдены.
Бомонт пишет, что уже сообщил об ошибке разработчикам Microsoft, но в компании присвоили проблеме статус «Medium» и закрыли тикет, заявив, что рассмотрят возможность ее исправления в будущем.
Однако ИБ-специалисты пишут, что с помощью этой папки злоумышленники могут предотвратить установку обновлений.
После установки апрельских обновлений Windows многие пользователи появившуюся в системе пустую папку C:\inetpub. Обычно эта папка используется Microsoft Internet Information Services (IIS), однако после установки накопительных обновлений пользователи обнаруживали папку inetpub, даже если IIS при этом не устанавливался.
Хотя удаление папки не вызывало никаких проблем в работе Windows, представители Microsoft поспешили сообщить, что пустая папка была создана намеренно, и ее не следует удалять. При этом апрельские накопительные обновления не будут установлены, если создать C:\inetpub заранее, до их установки.
Тогда разработчики Microsoft обновили бюллетень безопасности, связанный с уязвимостью повышения привилегий в Windows Process Activation ( ), чтобы сообщить пользователям о пользе пустой папки inetpub.
Успешная эксплуатация упомянутой уязвимости CVE-2025-21204 позволяет локальным злоумышленникам с низкими привилегиями повысить свои права, «выполнять или манипулировать операциями управления файлами на машине-жертве в контексте учетной записи NT AUTHORITY\SYSTEM». Судя по всему, Windows Update может следовать символическим ссылкам, и это позволяет локальным злоумышленникам получать доступ к файлам и папкам, а также изменить их.
В компании не объяснили, как именно пустая папка inetpub связана с защитой от CVE-2025-21204. Учитывая, что папка создается с доступом на уровне SYSTEM только для чтения, очевидно, она призвана защитить от некой формы эксплуатации этого бага повышения привилегий, но детали не были раскрыты публично.
Как теперь сообщил известный ИБ-эксперт (Kevin Beaumont), этой папкой можно злоупотреблять, чтобы предотвратить установку последующих обновлений Windows.
По словам эксперта, пользователи Windows, не имеющие привилегий администратора, могут создать точку соединения (junction) между C:\inetpub и файлом Windows, например C:\windows\system32\notepad.exe, с помощью следующей команды: mklink /j c:\inetpub c:\windows\system32\notepad.exe.
В Windows junction представляет собой особый тип папки, который перенаправляет доступ к другой папке на том же или другом диске, создавая впечатление, что содержимое присутствует в обоих местах. При этом, согласно , точки соединений должны представлять собой ссылки между папками, а не между файлами. Однако предложенный исследователем вариант все равно возможен.
Бомонт объясняет, что в данном случае создание такой точки соединения мешает установке обновлений. По его словам, это происходит из-за того, что обновление ожидает папку, а не файл:
После создания такой точки соединения, попытка установки апрельского обновления безопасности завершится некорректно, приводя к ошибке 0x800F081F: CBS_E_SOURCE_MISSING, что означает, что пакет или файл не найдены.
Бомонт пишет, что уже сообщил об ошибке разработчикам Microsoft, но в компании присвоили проблеме статус «Medium» и закрыли тикет, заявив, что рассмотрят возможность ее исправления в будущем.
