Специалисты по информационной безопасности обнаружили серьезную проблему в механизме обновления Windows, связанную с папкой inetpub. Изначально созданная Microsoft для защиты от уязвимости CVE-2025-21204, эта папка может быть использована злоумышленниками для предотвращения установки критически важных обновлений безопасности.
История появления папки inetpub и её предназначение
После апрельского обновления Windows пользователи заметили появление пустой папки C:\inetpub. Microsoft подтвердила преднамеренное создание этой папки, объяснив её роль в защите от уязвимости повышения привилегий в Windows Process Activation (CVE-2025-21204). Папка создается с правами доступа SYSTEM и предназначена для предотвращения несанкционированного повышения привилегий локальными пользователями.
Обнаруженная уязвимость и механизм эксплуатации
Известный специалист по кибербезопасности Кевин Бомонт выявил, что папка inetpub может быть использована для создания условий отказа в обслуживании сервисного стека Windows. Пользователи без прав администратора могут создать точку соединения (junction) между C:\inetpub и системным файлом, что приводит к блокировке установки последующих обновлений безопасности.
Технические детали эксплуатации
Механизм атаки основан на создании специальной точки соединения с помощью команды: mklink /j c:\inetpub c:\windows\system32\notepad.exe. При попытке установки обновлений система генерирует ошибку 0x800F081F (CBS_E_SOURCE_MISSING), поскольку ожидает наличия директории вместо файла по указанному пути.
Реакция Microsoft и статус проблемы
После получения отчета об уязвимости Microsoft присвоила проблеме средний уровень приоритета. Компания аргументировала своё решение тем, что блокировка обновлений происходит только при намеренном создании некорректной точки соединения, а простое удаление junction-ссылки восстанавливает нормальную работу системы обновлений.
Эксперты по кибербезопасности рекомендуют администраторам систем регулярно проверять состояние папки inetpub и контролировать права доступа пользователей к созданию точек соединения. Также важно следить за установкой обновлений безопасности и оперативно реагировать на ошибки в процессе их развертывания. До выпуска официального исправления от Microsoft следует внимательно отслеживать любые манипуляции с папкой inetpub в корпоративной среде.