Корпорация Microsoft официально представила специализированный PowerShell-скрипт, предназначенный для восстановления критически важной папки inetpub в операционных системах Windows. Данное решение направлено на устранение серьезной уязвимости повышения привилегий в компоненте Windows Process Activation, идентифицированной как CVE-2025-21204.
Появление загадочной папки inetpub в апрельских обновлениях
В апреле 2025 года пользователи Windows столкнулись с необычным явлением: после установки накопительных обновлений безопасности в системе появлялась пустая папка C:\inetpub. Особенность ситуации заключалась в том, что данный каталог создавался даже на компьютерах, где службы Internet Information Services (IIS) никогда не устанавливались.
Первоначально Microsoft не предоставила детального объяснения происходящего, что вызвало обеспокоенность среди системных администраторов и пользователей. Многие поспешили удалить «подозрительную» папку, не подозревая о ее защитной функции. Интересно отметить, что апрельские обновления блокировали установку в случае предварительного существования папки inetpub в системе.
Техническая природа уязвимости CVE-2025-21204
Представители Microsoft впоследствии обновили бюллетень безопасности, разъяснив истинное назначение пустой папки inetpub. Согласно официальному заявлению компании, «данная папка не подлежит удалению независимо от активности служб IIS на целевом устройстве и является неотъемлемой частью усовершенствований системы безопасности».
Анализ технических характеристик показывает, что папка создается с правами доступа уровня SYSTEM в режиме «только для чтения». Такая конфигурация предотвращает эксплуатацию уязвимости повышения привилегий в Windows Process Activation Service, создавая дополнительный барьер для потенциальных атакующих.
Предупреждения экспертов по информационной безопасности
Известный специалист по кибербезопасности Кевин Бомонт выразил обеспокоенность потенциальным злоупотреблением папкой inetpub. По его мнению, злоумышленники могут использовать данный механизм для блокировки установки критических обновлений безопасности Windows, создавая серьезные риски для корпоративной инфраструктуры.
Официальное решение Microsoft: PowerShell-скрипт Set-InetpubFolderAcl
В ответ на возникшую ситуацию Microsoft разработала автоматизированное решение в виде PowerShell-скрипта. Системные администраторы могут восстановить удаленную папку inetpub, выполнив следующие команды:
Install-Script -Name Set-InetpubFolderAcl
C:\Program Files\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1
Данный скрипт автоматически конфигурирует корректные права доступа для служб IIS, предотвращая несанкционированный доступ и потенциальные проблемы, связанные с эксплуатацией CVE-2025-21204. Дополнительно инструмент обновляет записи в списке контроля доступа (ACL) для каталога DeviceHealthAttestation в системах Windows Server.
Рекомендации по обеспечению безопасности
Для поддержания высокого уровня защиты корпоративной инфраструктуры специалисты рекомендуют немедленно выполнить PowerShell-скрипт от Microsoft на всех системах, где папка inetpub была удалена пользователями. Критически важно понимать, что данная мера защиты не требует активных служб IIS для функционирования и применима к любым конфигурациям Windows.
Инцидент с папкой inetpub демонстрирует важность своевременного информирования пользователей о изменениях в системе безопасности. Проактивный подход Microsoft к устранению уязвимости CVE-2025-21204 подчеркивает критическую значимость регулярного обновления систем безопасности и необходимость доверия официальным рекомендациям производителя программного обеспечения.
