Microsoft hat ein PowerShell-Skript veröffentlicht, das dabei hilft, einen leeren „inetpub“-Ordner wiederherzustellen, der durch die Windows-Sicherheitsupdates vom April 2025 erstellt wurde, falls dieser gelöscht wurde. Wie Microsoft bereits gewarnt hat, trägt dieser Ordner dazu bei, eine hochgefährliche Schwachstelle bei der Windows-Prozessaktivierung zu entschärfen, die zu einer Ausweitung der Rechte führt.
Im April stellten Windows-Benutzer nach der Installation der neuen Sicherheitsupdates plötzlich fest, dass ein leerer C:\Inetpub-Ordner erstellt worden war. Da dieser Ordner mit dem Internet Information Server von Microsoft verknüpft ist, fanden es die Benutzer verwirrend, dass er erstellt wurde, obwohl der Webserver nicht installiert war.
Dies veranlasste einige Benutzer, den Ordner zu entfernen, wodurch sie erneut für die gepatchte Sicherheitslücke anfällig wurden. Laut Microsoft können Benutzer, die den Ordner entfernt haben, ihn manuell wiederherstellen, indem sie die Internetinformationsdienste über die Systemsteuerung von Windows „Windows-Funktionen ein- oder ausschalten“ installieren.
Sobald IIS installiert ist, wird ein neuer inetpub-Ordner zum Stamm des Laufwerks C:\ hinzugefügt, mit Dateien und denselben SYSTEM-Eigentümern wie das Verzeichnis, das mit den Windows-Sicherheitsupdates vom April erstellt wurde. Wenn Sie IIS nicht verwenden, können Sie ihn auch über die Systemsteuerung von Windows Features deinstallieren, wobei der Ordner C:\inetpub zurückbleibt.
Am Mittwoch stellte das Unternehmen in einem neuen Update des CVE-2025-21204-Hinweises auch ein Abhilfeskript zur Verfügung, mit dem Administratoren diesen Ordner über eine PowerShell-Shell mit den folgenden Befehlen neu erstellen können:
Install-Script -Name Set-InetpubFolderAcl
C:\Programme\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1 Wie Redmond erklärt, legt das Skript die richtigen IIS-Berechtigungen fest, um unbefugten Zugriff und potenzielle Schwachstellen im Zusammenhang mit CVE-2025-21204 zu verhindern. Außerdem aktualisiert es die ACL-Einträge (Access Control List) für das DeviceHealthAttestation-Verzeichnis auf Windows Server-Systemen, um sicherzustellen, dass es sicher ist, wenn es durch die Sicherheitsupdates vom Februar 2025 erstellt wurde.
Microsoft: „Löschen Sie es nicht.“
Die Sicherheitslücke (CVE-2025-21204), die durch diesen inetpub-Ordner entschärft wird (der durch die Sicherheitsupdates vom April automatisch erstellt wird, auch auf Systemen, auf denen die IIS-Webserverplattform zuvor nicht installiert war), wird durch ein unsachgemäßes Problem bei der Linkauflösung im Windows Update Stack verursacht.
Dies bedeutet wahrscheinlich, dass Windows Update symbolischen Links auf ungepatchten Geräten auf eine Art und Weise folgt, die es lokalen Angreifern ermöglicht, das Betriebssystem zu überlisten, um auf unbeabsichtigte Dateien oder Ordner zuzugreifen oder diese zu ändern. Microsoft sagt, dass eine erfolgreiche Ausnutzung es Angreifern mit geringen Rechten ermöglicht, die Berechtigungen zu erweitern und Dateiverwaltungsoperationen im Kontext des NT AUTHORITY\SYSTEM-Kontos zu manipulieren oder durchzuführen.
Microsoft erklärte dass der Ordner absichtlich erstellt wurde und nicht gelöscht werden sollte. Redmond hat die gleiche Warnung in einem aktualisierten Advisory für die Sicherheitslücke CVE-2025-21204 herausgegeben, um Benutzer davor zu warnen, den leeren Ordner %systemdrive%\inetpub zu löschen.
„Dieser Ordner sollte nicht gelöscht werden, unabhängig davon, ob Internet Information Services (IIS) auf dem Zielgerät aktiv ist. Dieses Verhalten ist Teil von Änderungen, die den Schutz erhöhen und keine Maßnahmen von IT-Administratoren und Endbenutzern erfordern“, warnte das Unternehmen.
Der Cybersecurity-Experte Kevin Beaumont zeigte außerdem, dass Nicht-Administratoren diesen Ordner missbrauchen können, um die Installation von Windows-Updates zu verhindern, indem sie eine Verbindung zwischen C:\inetpub und einer beliebigen Windows-Datei herstellen.