Microsoft ha lanzado oficialmente un script PowerShell especializado diseñado para restaurar la carpeta inetpub en sistemas Windows, una medida crítica para mitigar la vulnerabilidad de escalada de privilegios CVE-2025-21204 en el componente Windows Process Activation Service. Esta herramienta automatizada surge como respuesta a la confusión generada entre administradores de sistemas que eliminaron inadvertidamente esta carpeta de seguridad.
El Misterio de la Carpeta inetpub en las Actualizaciones de Abril
Durante abril de 2025, los usuarios de Windows experimentaron un fenómeno inusual tras instalar las actualizaciones acumulativas de seguridad: la aparición de una carpeta vacía C:\inetpub en sus sistemas. Lo más intrigante era que este directorio se creaba incluso en equipos donde nunca se habían instalado los servicios de Internet Information Services (IIS).
La falta inicial de explicación por parte de Microsoft generó incertidumbre entre los profesionales de TI. Muchos administradores, considerando la carpeta como sospechosa, procedieron a eliminarla sin conocer su función protectora. Un detalle técnico relevante era que las actualizaciones de abril bloqueaban la instalación si detectaban una carpeta inetpub preexistente en el sistema.
Análisis Técnico de la Vulnerabilidad CVE-2025-21204
Microsoft posteriormente actualizó su boletín de seguridad, clarificando que «esta carpeta no debe eliminarse independientemente de si los servicios IIS están activos en el dispositivo, ya que forma parte integral de las mejoras de seguridad del sistema». La vulnerabilidad CVE-2025-21204 afecta específicamente al Windows Process Activation Service, un componente crítico para la gestión de procesos en aplicaciones web.
El análisis forense revela que la carpeta se crea con permisos de nivel SYSTEM en modo de solo lectura. Esta configuración específica actúa como una barrera preventiva contra la explotación de la vulnerabilidad de escalada de privilegios, estableciendo un mecanismo de defensa en profundidad que no requiere la presencia activa de IIS.
Preocupaciones de Seguridad Expresadas por Expertos
El investigador de ciberseguridad Kevin Beaumont ha alertado sobre el potencial uso malicioso de este mecanismo. Según su análisis, los atacantes podrían aprovechar la lógica de verificación de la carpeta inetpub para bloquear deliberadamente la instalación de actualizaciones críticas de seguridad, creando ventanas de oportunidad para explotar vulnerabilidades no parcheadas en entornos empresariales.
Solución Oficial: Script Set-InetpubFolderAcl de Microsoft
Para abordar esta situación crítica, Microsoft ha desarrollado una solución automatizada mediante un script PowerShell. Los administradores de sistemas pueden restaurar la carpeta inetpub eliminada ejecutando los siguientes comandos en una sesión PowerShell con privilegios administrativos:
Install-Script -Name Set-InetpubFolderAcl
C:\Program Files\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1
Este script no solo recrea la carpeta con las configuraciones de seguridad apropiadas, sino que también actualiza las listas de control de acceso (ACL) para el directorio DeviceHealthAttestation en sistemas Windows Server. La herramienta garantiza que los permisos se establezcan correctamente para prevenir la explotación de CVE-2025-21204.
Mejores Prácticas para la Implementación
Los profesionales de ciberseguridad deben ejecutar inmediatamente el script de Microsoft en todos los sistemas donde se haya eliminado la carpeta inetpub. Es fundamental comprender que esta medida de protección opera independientemente del estado de los servicios IIS y es aplicable a todas las configuraciones de Windows afectadas.
La gestión proactiva de esta vulnerabilidad requiere un enfoque sistemático que incluya la verificación de la integridad de la carpeta inetpub, la aplicación del script de reparación cuando sea necesario, y el monitoreo continuo para detectar intentos de manipulación maliciosa. Los equipos de seguridad deben documentar estos procedimientos como parte de sus protocolos de gestión de vulnerabilidades.
Este incidente subraya la importancia crítica de mantener canales de comunicación claros entre los proveedores de software y los profesionales de TI. La respuesta de Microsoft con el script Set-InetpubFolderAcl demuestra un enfoque responsable para la mitigación de vulnerabilidades, aunque destaca la necesidad de proporcionar documentación técnica completa desde el momento inicial del despliegue de medidas de seguridad.
