BleepingComputer.com logo

Windows "inetpub" 安全修复可能被滥用以阻止未来更新

By

Lawrence Abrams

Microsoft

最近的 Windows 安全更新创建了一个 ‘inetpub’ 文件夹,却引入了一个新的弱点,允许攻击者阻止未来更新的安装。

在本月安装了 Microsoft Patch Tuesday 安全更新后,Windows 用户 突然发现一个 "inetpub" 文件夹,该文件夹由 SYSTEM 帐户拥有,创建在系统驱动器的根目录中,通常是 C: 盘。

看到这个文件夹被创建很奇怪,因为它通常用于保存与 Microsoft 的 Internet Information Service 网络服务器相关的文件,而这些设备上并未安装该服务器。

安全公告 的更新中,Microsoft 后来确认 C:\inetpub 文件夹是针对 Windows Process Activation 权限提升漏洞(追踪为 CVE-2025-21204)的修复的一部分,该公司警告不要删除该文件夹

Microsoft 确认:“安装了安全更新表中列出的适用于您操作系统的更新后,将在您的设备上创建一个新的 %systemdrive%\inetpub 文件夹。无论 Internet Information Services (IIS) 是否在目标设备上处于活动状态,都不应删除此文件夹。此行为是增加保护的更改的一部分,不需要 IT 管理员和最终用户采取任何措施。”

然而,网络安全专家 Kevin Beaumont 已经证明,如果以某种方式创建此文件夹,则可以滥用它来阻止安装进一步的 Windows 更新。

"我发现这个修复在 Windows 服务堆栈中引入了一个拒绝服务漏洞,允许非管理员用户停止所有未来的 Windows 安全更新," Kevin Beaumont 说道。

在一份新的报告中,Beaumont 表示,Windows 用户,即使是没有管理权限的用户,也可以使用以下命令在 C:\inetpub 和 Windows 文件(如 C:\windows\system32\notepad.exe)之间创建一个 junction。

mklink /j c:\inetpub c:\windows\system32\notepad.exe

Windows junction 是一种特殊类型的文件夹,它将访问重定向到同一或另一个驱动器上的另一个文件夹,使其看起来好像内容存在于两个位置。

当被问及为什么这个 junction 阻止更新安装时,Beaumont 说他认为这是因为更新期望的是一个文件夹而不是一个文件。

"它适用于基本上任何文件,我认为这是因为服务堆栈期望 c:\inetpub 是一个目录 - 但 mklink 允许你创建一个指向文件的 junction," Beaumont 告诉 BleepingComputer。

根据 Microsoft 的文档,junction 应该是指向文件夹之间的链接,而不是文件之间的链接。但是,正如您从文章前面的图像中看到的那样,仍然可以创建一个,如下面的图像所示。

C:\inetpub 指向 C:\Windows\system32\notepad.exe 的 junctionC:\inetpub 指向 C:\Windows\system32\notepad.exe 的 junction 来源: BleepingComputer

创建此 junction 后,如果您尝试安装 4 月的安全更新,它将无法正确安装,并给出 0x800F081F 错误代码。 此代码与 "CBS_E_SOURCE_MISSING" 错误相关,这意味着找不到程序包或文件。

创建 junction 后出现的 Windows 0x800F081F 错误创建 junction 后出现的 Windows 0x800F081F 错误 来源: BleepingComputer:

Beaumont 说他已将此 bug 报告给 Microsoft,Microsoft 将其评为 "Medium" 严重性级别并关闭了他的案例,并表示他们将在未来考虑修复它。

Microsoft 通过电子邮件告诉 Beaumont:“经过仔细调查,此案例目前被评为中等严重性问题。它不符合 MSRC 目前的立即服务标准,因为仅当 'inetpub' 文件夹是指向文件的 junction 时更新才会应用失败,并且在删除 inetpub symlink 并重试后会成功。”

BleepingComputer 还在周三就此 bug 联系了 Microsoft,但尚未收到回复。

相关文章:

Microsoft:Windows 'inetpub' 文件夹由安全修复创建,不要删除 Microsoft 2025 年 4 月补丁星期二修复了被利用的零日漏洞,共 134 个漏洞 Microsoft 为 Windows 11 Enterprise 添加了热补丁支持 Microsoft 2025 年 3 月补丁星期二修复了 7 个零日漏洞,共 57 个漏洞 Microsoft 称 Edge 浏览器经过优化后现在速度提高了 9%