Cybersicherheitsexperten haben eine schwerwiegende Schwachstelle im Windows Update-System identifiziert. Die Sicherheitslücke ermöglicht es Angreifern, durch Manipulation des inetpub-Ordners die Installation kritischer Sicherheitsupdates zu verhindern. Besonders brisant: Der betroffene Ordner wurde ursprünglich von Microsoft als Sicherheitsmaßnahme implementiert.
Der inetpub-Ordner: Von der Lösung zum Problem
Microsoft führte den C:\inetpub-Ordner im April-Update als Schutzmaßnahme gegen die Privilege-Escalation-Schwachstelle CVE-2025-21204 ein. Der Ordner, ausgestattet mit SYSTEM-Berechtigungen, sollte ursprünglich nicht-privilegierte Benutzer an der Ausnutzung dieser Schwachstelle hindern. Ironischerweise wurde diese Sicherheitsmaßnahme nun selbst zur Schwachstelle.
Technische Analyse der Schwachstelle
Der renommierte Sicherheitsforscher Kevin Beaumont entdeckte, dass nicht-privilegierte Benutzer durch die Erstellung einer Junction-Point zwischen C:\inetpub und einer Systemdatei den Windows-Update-Prozess stören können. Der Angriff erfolgt über einen einfachen Befehl zur Erstellung einer symbolischen Verknüpfung und resultiert in der Fehlermeldung 0x800F081F (CBS_E_SOURCE_MISSING).
Auswirkungen und Risiken
Die Schwachstelle ermöglicht es Angreifern, gezielt die Installation von Sicherheitsupdates zu blockieren. Dies kann zu erheblichen Sicherheitsrisiken führen, da kritische Patches nicht eingespielt werden können. Besonders in Unternehmensumgebungen, wo Updates zentral gesteuert werden, könnte dies weitreichende Folgen haben.
Microsofts Reaktion und Empfehlungen
Microsoft hat die Schwachstelle als mittelschwer eingestuft, da sie aktives Eingreifen erfordert und durch Entfernen der Junction-Verknüpfung behoben werden kann. Dennoch empfehlen Sicherheitsexperten folgende präventive Maßnahmen:
– Regelmäßige Überprüfung des inetpub-Ordners auf unerwartete Verknüpfungen
– Einschränkung der Benutzerrechte zur Erstellung von Junction-Points
– Implementierung von Monitoring-Systemen zur Erkennung fehlgeschlagener Updates
Bis Microsoft ein offizielles Update bereitstellt, sollten Systemadministratoren erhöhte Wachsamkeit walten lassen und verdächtige Aktivitäten im Zusammenhang mit dem inetpub-Ordner umgehend untersuchen. Die regelmäßige Überprüfung der Windows Update-Logs und die Implementierung zusätzlicher Sicherheitskontrollen sind entscheidend, um die Integrität des Update-Prozesses zu gewährleisten und potenzielle Angriffe frühzeitig zu erkennen.
