Quelle: doublepulsar.com (Englisch)
Ein kürzlich veröffentlichtes Windows-Sicherheitsupdate, das einen Ordner „inetpub“ erstellt, hat eine neue Schwachstelle eingeführt, die es Angreifern ermöglicht, die Installation zukünftiger Updates zu verhindern.
Nachdem die Sicherheitsupdates des Microsoft Patch Tuesday für diesen Monat installiert worden waren, fanden Windows-Benutzer plötzlich einen Ordner „inetpub“ im Stammverzeichnis des Systemlaufwerks, normalerweise Laufwerk C:.
Es war seltsam, diesen Ordner zu sehen, da er normalerweise für Dateien des Microsoft Internet Information Service-Webservers verwendet wird, der auf diesen Geräten nicht installiert war.
In einer Aktualisierung einer Sicherheitsempfehlung bestätigte Microsoft später, dass der Ordner „C:\inetpub“ Teil einer Korrektur für eine Sicherheitslücke in der Windows-Prozessaktivierung war, die als CVE-2025-21204 verfolgt wurde, und warnte davor, den Ordner zu löschen.
„Nach der Installation der in der Tabelle ‚Sicherheitsupdates‘ für Ihr Betriebssystem aufgeführten Updates wird auf Ihrem Gerät ein neuer Ordner %systemdrive%\inetpub erstellt“, bestätigt Microsoft.
„Dieser Ordner sollte unabhängig davon, ob Internetinformationsdienste (IIS) auf dem Zielgerät aktiv sind, nicht gelöscht werden. Dieses Verhalten ist Teil von Änderungen, die den Schutz erhöhen und keine Maßnahmen seitens IT-Administratoren und Endbenutzern erfordern.“
Der Cybersicherheitsexperte Kevin Beaumont hat jedoch gezeigt, dass dieser Ordner missbraucht werden kann, um die Installation weiterer Windows-Updates zu verhindern, wenn er auf eine bestimmte Weise erstellt wird.
„Ich habe festgestellt, dass dieser Fix eine Denial-of-Service-Sicherheitslücke im Windows-Servicing-Stack einführt, die es Benutzern ohne Administratorrechte ermöglicht, alle zukünftigen Windows-Sicherheitsupdates zu stoppen“, so Kevin Beaumont.
In einem neuen Bericht erklärt Beaumont, dass Windows-Benutzer, auch solche ohne Administratorrechte, mit dem folgenden Befehl eine Verknüpfung zwischen C: \\inetpub und einer Windows-Datei wie C:\windows\system32\notepad.exe mit dem folgenden Befehl erstellen können.
mklink /j c:\inetpub c:\windows\system32\notepad.exe
Eine Windows-Verknüpfung ist ein spezieller Ordnertyp, der den Zugriff auf einen anderen Ordner auf demselben oder einem anderen Laufwerk umleitet, sodass es so aussieht, als ob der Inhalt an beiden Speicherorten vorhanden ist.
Auf die Frage, warum diese Verbindung die Installation des Updates verhindert, antwortet Beaumont, dass er glaubt, dass das Update einen Ordner statt einer Datei erwartet.
„Es funktioniert im Grunde mit jeder Datei. Ich glaube, das liegt daran, dass der Servicing Stack erwartet, dass c:\inetpub ein Verzeichnis ist – aber mit mklink kann man eine Verbindung zu einer Datei herstellen“, erklärte Beaumont.
Laut Microsofts Dokumentation sind Verknüpfungen als Verbindungen zwischen Ordnern und nicht zwischen Dateien gedacht. Wie Sie jedoch aus dem Bild weiter oben in diesem Artikel ersehen können, ist es dennoch möglich, eine solche Verknüpfung zu erstellen, wie in der Abbildung unten gezeigt.
C:\inetpub junction pointing to C:\Windows\system32\notepad.exe
Wenn Sie nach dem Erstellen dieser Verknüpfung versuchen, das Sicherheitsupdate für April zu installieren, wird es nicht korrekt installiert und es wird der Fehlercode 0x800F081F angezeigt. Dieser Code steht im Zusammenhang mit dem Fehler „CBS\_E\_SOURCE\_MISSING“, der bedeutet, dass ein Paket oder eine Datei nicht gefunden wurde.
Windows 0x800F081F-Fehler nach dem Erstellen einer Verknüpfung
Beaumont sagt, er habe den Fehler an Microsoft gemeldet, das ihm den Schweregrad „Mittel“ zugewiesen und seinen Fall geschlossen habe, mit der Begründung, dass eine Behebung in Zukunft in Betracht gezogen werde.
„Nach sorgfältiger Untersuchung wird dieser Fall derzeit als Problem mit mittlerem Schweregrad eingestuft“, Microsoft per E-Mail an Beaumont.
„Er erfüllt nicht die aktuellen Anforderungen des MSRC für eine sofortige Behebung, da das Update nur dann fehlschlägt, wenn der Ordner ‚inetpub‘ eine Verknüpfung zu einer Datei ist, und nach dem Löschen des Symlinks ‚inetpub‘ und einem erneuten Versuch erfolgreich ist.“