Windows更新產生的Inetpub資料夾恐遭濫用,攻擊者能阻止修補其他弱點
文/周峻佑 | 2025-04-28發表
許多人在套用完4月份微軟例行更新(Patch Tuesday)的修補程式之後,發現電腦系統磁區(通常是C:\)會出現名為inetpub的資料夾,此資料夾能否手動刪除,引起用戶的熱烈討論。後續微軟在權限提升漏洞CVE-2025-21204的資安公告裡提出說明,此資料夾是修補該漏洞的一部分,使用者不應將其刪除,但有研究人員發現,微軟透過作業系統更新建立此資料夾,導致inetpub資料夾有可能遭到濫用,攻擊者有機會用來讓使用者無法完成作業系統更新。
基本上,inetpub資料夾通常是啟用了IIS服務才會出現,該資料夾主要是存放與該服務相關元件及檔案,因此一般使用者在未啟用IIS服務的情況下,安裝更新後於系統根目錄看到該資料夾,對於熟悉Windows作業系統檔案結構的用戶而言,出現上述狀況應該會相當錯愕。尤其是,微軟在使用者發現後才進行說明,承認該資料夾的出現與修補漏洞有關,是刻意產生,這種現象相當罕見。
然而,這樣的做法不僅怪異,還有可能會衍生其他問題。資安專家Kevin Beaumont提出警告,他發現微軟建立的這個資料夾,有可能在Windows的服務堆疊(Servicing Stack)更新機制,引入引發阻斷服務(DoS)問題的弱點,導致所有非管理員身分的使用者無法接收未來的更新。
Kevin Beaumont指出,他發現在修補CVE-2025-21204完成的電腦上,攻擊者只要取得一般使用者的權限,下達mklink命令,對C:\inetpub與任意的公用程式(Kevin Beaumont以記事本notepad.exe為例)建立特定資料夾的連接點(Junction Point),結果發現,之後該名使用者若是執行Microsoft Update更新系統,電腦就會出現錯誤訊息,並將原本安裝的更新復原。換言之,這名使用者未來將無法套用任何系統更新。
Kevin Beaumont將這項發現通報微軟,4月25日收到回覆,該公司決定將這項弱點評為中度風險層級,雖然不符合微軟安全回應中心(MSRC)立即處理的標準,但承諾會將通報內容提供給產品維護團隊,未來有可能修復。
但為何設置連結點會擾亂作業系統的更新機制?Kevin Beaumont進一步向資安新聞網站Bleeping Computer透露細節,照理來說,連結點通常會用於兩個資料夾之間的串連,但mklink允許將資料夾與檔案進行連結。在經過上述將inetpub與notepad.exe連結之後,作業系統的服務堆疊更新機制會認為C:\inetpub應該是資料夾,但現在實際存取的卻是檔案,因而造成錯誤。
Bleeping Computer依照Kevin Beaumont的方法進行驗證,結果發現,若是在安裝系統更新前就進行前述的連接點作業,後續安裝更新時,就會出現0x800F081F的錯誤碼,代表找不到特定的套件或是檔案。
https://www.ithome.com.tw/news/168633
當初如果設定成隱藏資料夾不知道還有沒有等同效果
--
推 roy1123:聽說把住址打出來會變米字號呢 我住***************** 02/18 13:54
→ hopeofplenty:測試一下 ********************** 02/18 14:17
→ tddrean:*****************真的耶 02/18 14:25
→ Kovan:***********怎麼打不出地址! 02/18 14:28
→ jimmy00102:台中市西屯區四川東街33號 02/18 14:50
→ jimmy00102:幹!!!! 02/18 14:51
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.125.187.40 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1745852428.A.01D.html