През април 2025 г. Microsoft изненада потребителите на Windows със създаването на нова празна папка C:inetpub след инсталиране на месечните ъпдейти за сигурност. Макар и на пръв поглед безобидна, тази папка играе важна роля за затваряне на критична уязвимост в Windows и не трябва да бъде изтривана, дори ако Internet Information Services (IIS) не е инсталиран на машината.
Защо се създава папката inetpub?
Създаването на папката е част от мерките за защита срещу уязвимостта CVE-2025-21204 — проблем с неправилно разрешаване на символни връзки в Windows Update Stack, който позволява на локални потребители с ниски привилегии да ескалират правомощия и да извършват промени по файлове от името на системата (NT AUTHORITYSYSTEM).
Папката inetpub (по подразбиране използвана от IIS) се създава с конкретни права на достъп, които ограничават възможността тази уязвимост да бъде експлоатирана. Затова Microsoft подчертава, че дори ако IIS не се използва, папката трябва да остане.
Какво се случва, ако я изтриете?
След като потребителите видяха празната папка, мнозина я премахнаха, мислейки я за излишна. Това обаче премахва защитата, въведена с ъпдейта, и отново отваря вратата за потенциална ескалация на привилегии от страна на злонамерени лица.
Като реакция, Microsoft публикува PowerShell скрипт, с който администраторите могат да възстановят безопасно папката с коректните права за достъп:
Скриптът задава необходимите ACL (Access Control List) настройки за inetpub, както и за друга чувствителна системна папка — DeviceHealthAttestation, създавана при обновленията от февруари 2025 г. на Windows Server.
Демонстрирана злоупотреба от страна на експерт
Известният експерт по киберсигурност Кевин Бомонт показа, че обикновени (не-администраторски) потребители могат да създадат junction (връзка) между C:inetpub и други системни папки, което в някои случаи блокира инсталацията на Windows ъпдейти. Това допълнително подчертава значимостта на контрола върху тази папка и нуждата от подходящи права.
Препоръки от Microsoft
Microsoft потвърди в актуализирания си съветник за CVE-2025-21204:
„Папката
inetpubне трябва да се изтрива, независимо дали IIS е инсталиран. Това поведение е част от мерки за повишаване на защитата и не изисква действия от страна на ИТ администратори или крайни потребители.“
Ако вече сте изтрили C:inetpub, препоръчва се или да инсталирате и след това да деинсталирате IIS (чрез “Turn Windows features on or off”), или да използвате предоставения PowerShell скрипт на Microsoft за възстановяване на структурата и настройките.
