Microsoft hat ein spezielles PowerShell-Skript zur Behebung einer kritischen Sicherheitslücke in Windows-Systemen bereitgestellt. Die Lösung adressiert die Schwachstelle **CVE-2025-21204** im Windows Process Activation Service und fokussiert sich auf die Wiederherstellung des schützenden inetpub-Ordners, der von vielen Administratoren fälschlicherweise entfernt wurde.
Unerwartete Ordner-Erstellung nach Windows-Updates löst Verwirrung aus
Im April 2025 beobachteten Windows-Nutzer ein ungewöhnliches Phänomen: Nach der Installation kumulativer Sicherheitsupdates erschien automatisch ein leerer Ordner **C:\inetpub** auf ihren Systemen. Besonders rätselhaft war, dass dieser Ordner auch auf Computern erstellt wurde, auf denen die Internet Information Services (IIS) niemals installiert waren.
Die fehlende Kommunikation seitens Microsoft führte zu erheblicher Unsicherheit unter IT-Administratoren. Viele interpretierten den mysteriösen Ordner als potenzielle Bedrohung und löschten ihn voreilig. Dabei übersahen sie die wichtige Schutzfunktion, die dieser Ordner erfüllt. Ein weiteres Indiz für die Bedeutung war, dass die April-Updates die Installation blockierten, wenn bereits ein inetpub-Ordner im System vorhanden war.
Technische Details der Privilege Escalation-Schwachstelle
Microsoft klärte später in einem aktualisierten Sicherheitsbulletin über den wahren Zweck des inetpub-Ordners auf. Laut offizieller Stellungnahme *“darf dieser Ordner unabhängig vom IIS-Status des Systems nicht entfernt werden und ist ein integraler Bestandteil der Sicherheitsverbesserungen“*.
Die technische Analyse zeigt, dass der Ordner mit **SYSTEM-Berechtigungen** im schreibgeschützten Modus erstellt wird. Diese Konfiguration verhindert die Ausnutzung der Privilege Escalation-Schwachstelle im Windows Process Activation Service und bildet eine zusätzliche Schutzbarriere gegen Angreifer.
Sicherheitsexperten warnen vor Missbrauchspotenzial
Der Cybersecurity-Spezialist Kevin Beaumont äußerte Bedenken bezüglich möglicher Angriffsvektoren. Seiner Einschätzung nach könnten Cyberkriminelle den inetpub-Mechanismus ausnutzen, um **die Installation kritischer Windows-Sicherheitsupdates zu blockieren**, was erhebliche Risiken für Unternehmensinfrastrukturen schaffen würde.
Set-InetpubFolderAcl: Microsofts automatisierte Wiederherstellungslösung
Als Antwort auf die entstandene Problematik entwickelte Microsoft das PowerShell-Skript „Set-InetpubFolderAcl“. Systemadministratoren können den versehentlich gelöschten inetpub-Ordner durch Ausführung folgender Befehle wiederherstellen:
Install-Script -Name Set-InetpubFolderAcl
C:\Program Files\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1
Das Skript konfiguriert automatisch die korrekten Zugriffsberechtigungen für IIS-Dienste und verhindert unbefugten Zugriff sowie potenzielle Exploits der **CVE-2025-21204**-Schwachstelle. Zusätzlich aktualisiert das Tool die Access Control Lists (ACL) für das DeviceHealthAttestation-Verzeichnis in Windows Server-Umgebungen.
Best Practices für IT-Sicherheitsverantwortliche
Zur Aufrechterhaltung eines hohen Sicherheitsniveaus empfehlen Experten die umgehende Ausführung des Microsoft PowerShell-Skripts auf allen Systemen, bei denen der inetpub-Ordner entfernt wurde. Wichtig ist das Verständnis, dass diese Schutzmaßnahme **unabhängig von aktiven IIS-Diensten** funktioniert und für alle Windows-Konfigurationen relevant ist.
Der inetpub-Vorfall unterstreicht die Bedeutung transparenter Kommunikation bei Sicherheitsänderungen. Microsofts proaktiver Ansatz zur Behebung von CVE-2025-21204 verdeutlicht die kritische Wichtigkeit regelmäßiger Sicherheitsupdates und das Vertrauen in offizielle Herstellerempfehlungen. IT-Verantwortliche sollten künftig bei unerwarteten Systemänderungen zunächst offizielle Quellen konsultieren, bevor sie Schutzmaßnahmen deaktivieren oder entfernen.
