Microsoft випустила скрипт PowerShell, який допомагає відновити порожню папку «inetpub», створену оновленнями безпеки Windows за квітень 2025 року, у разі її видалення. Як раніше попереджала Microsoft, ця папка допомагає зменшити ризик уразливості ескалації прав активації процесів Windows. У квітні, після встановлення нових оновлень безпеки, користувачі Windows раптово виявили, що була створена порожня папка C:Inetpub. Оскільки ця папка пов’язана з Internet Information Server від Microsoft, користувачів збентежило те, що вона була створена, коли веб-сервер не був встановлений.
Через це деякі користувачі видалили папку, що знову зробило їх вразливими до виправленої вразливості. Microsoft заявила, що користувачі, які видалили її, можуть вручну відтворити її, встановивши служби Internet Information Services з панелі керування Windows «Увімкнення або вимкнення компонентів Windows».
Після встановлення IIS до кореневого каталогу диска C: буде додано нову папку inetpub з файлами та тим самим власником SYSTEM, що й у каталогу, створеному квітневими оновленнями безпеки Windows. Крім того, якщо ви не використовуєте IIS, ви можете видалити його за допомогою тієї ж панелі керування компонентами Windows, залишивши папку C:inetpub. У середу, в новому оновленні рекомендацій CVE-2025-21204, компанія також поділилася сценарієм виправлення, який допомагає адміністраторам повторно створити цю папку з оболонки PowerShell за допомогою таких команд:
Install-Script -Name Set-InetpubFolderAcl C:Program` FilesWindowsPowerShellScriptsSet-InetpubFolderAcl.ps1Як пояснює Редмонд, скрипт встановить правильні дозволи IIS, щоб запобігти несанкціонованому доступу та потенційним вразливостям, пов’язаним із CVE-2025-21204. Також буде оновлено записи списку керування доступом (ACL) для каталогу DeviceHealthAttestation у системах Windows Server, щоб забезпечити його безпеку, якщо його було створено оновленнями безпеки за лютий 2025 року.
Microsoft: «Не видаляйте це».
Вразливість системи безпеки (CVE-2025-21204), яку усуває ця папка inetpub (автоматично створюється квітневими оновленнями безпеки навіть у системах, де раніше не було встановлено платформу веб-сервера IIS), спричинена проблемою неправильного розв’язання посилань у стеку оновлень Windows. Це, ймовірно, означає, що Windows Update може переходити за символічними посиланнями на пристроях без патчів таким чином, що це може дозволити локальним зловмисникам обманом отримати доступ до небажаних файлів чи папок або змінити їх.
Microsoft стверджує, що успішна експлуатація дозволяє зловмисникам з низькими привілеями підвищувати дозволи та маніпулювати файлами або виконувати операції з їх керуванням у контексті облікового запису NT AUTHORITYSYSTEM.
Хоча видалення папки не спричинило проблем із використанням Windows у наших тестах, Microsoft повідомила BleepingComputer, що вона була створена навмисно і не повинна видалятися. Редмонд випустив аналогічне попередження в оновленому повідомленні щодо недоліку безпеки CVE-2025-21204, щоб попередити користувачів не видаляти порожню папку %systemdrive%inetpub.
«Цю папку не слід видаляти незалежно від того, чи активні служби Internet Information Services (IIS) на цільовому пристрої. Така поведінка є частиною змін, що підвищують захист, і не вимагає жодних дій від ІТ-адміністраторів та кінцевих користувачів», – попередила компанія. Експерт з кібербезпеки Кевін Бомонт також продемонстрував, що користувачі без прав адміністратора можуть зловживати цією папкою, щоб блокувати встановлення оновлень Windows, створюючи з’єднання між C:inetpub та будь-яким файлом Windows.
