Корпорація Microsoft офіційно оприлюднила спеціалізований PowerShell-інструмент, розроблений для відновлення критично важливого каталогу inetpub у операційних системах Windows. Це рішення спрямоване на ліквідацію серйозної уразливості підвищення привілеїв у компоненті Windows Process Activation Service, каталогізованої під номером CVE-2025-21204.
Загадкова поява папки inetpub після квітневих оновлень
У квітні 2025 року користувачі Windows зіткнулися з незвичним феноменом: після встановлення накопичувальних оновлень безпеки в системі з’являлася порожня папка C:\inetpub. Особливість ситуації полягала в тому, що цей каталог створювався навіть на комп’ютерах, де служби Internet Information Services (IIS) ніколи не інсталювалися.
Спочатку Microsoft не надала детального пояснення цієї поведінки, що викликало занепокоєння серед системних адміністраторів. Багато користувачів поспішили видалити “підозрілу” папку, не підозрюючи про її захисну функцію. Примітно, що квітневі оновлення блокували встановлення у випадку попереднього існування папки inetpub у системі.
Технічна сутність уразливості CVE-2025-21204
Згодом представники Microsoft оновили бюлетень безпеки, роз’яснивши справжнє призначення порожньої папки inetpub. Згідно з офіційною заявою компанії, “цей каталог не підлягає видаленню незалежно від активності служб IIS на цільовому пристрої та є невід’ємною частиною вдосконалень системи безпеки”.
Технічний аналіз показує, що папка створюється з правами доступу рівня SYSTEM у режимі “тільки для читання”. Така конфігурація попереджає експлуатацію уразливості підвищення привілеїв у Windows Process Activation Service, створюючи додатковий бар’єр для потенційних зловмисників.
Застереження експертів з інформаційної безпеки
Відомий фахівець з кібербезпеки Кевін Бомонт висловив стурбованість потенційним зловживанням папкою inetpub. На його думку, зловмисники можуть використовувати цей механізм для блокування встановлення критичних оновлень безпеки Windows, створюючи серйозні ризики для корпоративної інфраструктури.
Офіційне рішення Microsoft: скрипт Set-InetpubFolderAcl
У відповідь на створену ситуацію Microsoft розробила автоматизоване рішення у вигляді PowerShell-скрипта. Системні адміністратори можуть відновити видалену папку inetpub, виконавши наступні команди:
Install-Script -Name Set-InetpubFolderAcl
C:\Program Files\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1
Цей скрипт автоматично налаштовує коректні права доступу для служб IIS, запобігаючи несанкціонованому доступу та потенційним проблемам, пов’язаним з експлуатацією CVE-2025-21204. Додатково інструмент оновлює записи в списку контролю доступу (ACL) для каталогу DeviceHealthAttestation у системах Windows Server.
Критичні рекомендації для забезпечення безпеки
Для підтримання високого рівня захисту корпоративної інфраструктури фахівці рекомендують негайно виконати PowerShell-скрипт від Microsoft на всіх системах, де папка inetpub була видалена користувачами. Надзвичайно важливо розуміти, що цей захисний механізм не потребує активних служб IIS для функціонування та застосовний до будь-яких конфігурацій Windows.
Інцидент з папкою inetpub демонструє критичну важливість своєчасного інформування користувачів про зміни в системі безпеки. Проактивний підхід Microsoft до усунення уразливості CVE-2025-21204 підкреслює необхідність регулярного оновлення систем безпеки та довіру до офіційних рекомендацій виробника програмного забезпечення. Системним адміністраторам слід негайно впровадити це рішення для забезпечення комплексного захисту своїх IT-середовищ.
