И вновь про таинственную папку inetpub, которая создавалась после апрельских обновлений безопасности Windows и вызвала много вопросов у пользователей, которым строго настрого рекомендовалось ее не удалять.

На этот случай Microsoft выпустила целый скрипт PowerShell, который поможет восстановить C:\Inetpub, если она все же была удалена.

В Microsoft предупреждают: эта папка помогает смягчить уязвимость повышения привилегий активации процессов Windows высокой степени серьезности.

В апреле, после установки новых обновлений безопасности, пользователи Windows внезапно обнаружили создание пустой папки, а поскольку эта папка связана с Microsoft Internet Information Server, пользователи сочли странным, что она была создана, при том, что сервер не был установлен.

В связи с чем некоторые предпочли удалить папку, что сделало их снова уязвимыми для исправленной уязвимости.

Microsoft заявила, что пользователи, которые удалили ее, могут вручную воссоздать ее, установив Internet Information Services из панели управления Windows «Включение или отключение компонентов Windows».

После установки IIS в корень диска C:\ будет добавлена новая папка inetpub с файлами и тем же владельцем SYSTEM, что и у каталога, созданного апрельскими обновлениями безопасности Windows.

Кроме того, если IIS не используется, его можно удалить с помощью той же панели управления компонентами Windows, оставив папку C:\inetpub.

В новом обновлении рекомендаций по CVE-2025-21204 компания также поделилась сценарием исправления, который помогает администраторам повторно создать эту папку из оболочки PowerShell.

Как объясняет Редмонд, скрипт установит правильные разрешения IIS для предотвращения несанкционированного доступа и потенциальных уязвимостей, связанных с CVE-2025-21204.

Он также обновит записи списка управления доступом (ACL) для каталога DeviceHealthAttestation в системах Windows Server, чтобы гарантировать его безопасность в случае создания обновлений безопасности за февраль 2025 года.

Уязвимость безопасности (CVE-2025-21204), устраняемая папкой inetpub, вызвана проблемой неправильного разрешения ссылок в стеке обновлений Windows.

Вероятно, это означает, что Центр обновления Windows может переходить по символическим ссылкам на необновленных устройствах, что позволяет локальным злоумышленникам обмануть ОС, заставив ее получить доступ к нежелательным файлам и папкам или изменить их.

По словам Microsoft, успешная эксплуатация уязвимости позволяет злоумышленникам с низкими привилегиями повышать разрешения и манипулировать или выполнять операции по управлению файлами в контексте учетной записи NT AUTHORITY\SYSTEM.

Несмотря на отсутствие каких-либо проблем с использованием Windows после удаления папки, Microsoft в своем обновленном бюллетене требует от пользователей не удалять пустую папку %systemdrive%\inetpub независимо от того, активны ли службы IIS на целевом устройстве.

В свою очередь, ресерчер Кевин Бомонт также продемонстрировал, что пользователи, не имеющие прав администратора, могут злоупотреблять этой папкой, чтобы блокировать установку обновлений Windows, создавая соединение между C:\inetpub и любым файлом Windows.