Microsoft heeft nu bevestigd dat een Windows-beveiligingsupdate van april 2025 een nieuwe lege “inetpub”-map aanmaakt en heeft gebruikers gewaarschuwd deze niet te verwijderen.

Deze map wordt meestal gebruikt door Microsoft’s Internet Information Services (IIS), een webserverplatform dat via het Windows-functies dialoogvenster kan worden ingeschakeld om websites en webapps te hosten.

Echter, na het installeren van de cumulatieve updates van deze maand hebben veel Windows-gebruikers een nieuw aangemaakte C:inetpub-map op hun systemen gevonden, hoewel IIS niet was geïnstalleerd tijdens het proces.

BleepingComputer heeft dit gedrag bevestigd op onze Windows 11- en Windows 10-systemen en ontdekte dat de cumulatieve update de map creëert met behulp van het SYSTEM-account.

Hoewel het verwijderen van de map tijdens onze tests geen problemen veroorzaakte bij het gebruik van Windows, vertelde Microsoft donderdag aan BleepingComputer dat deze lege map opzettelijk was aangemaakt en niet verwijderd moet worden.

Volgens gebruikersrapporten zullen de cumulatieve updates van april echter niet geïnstalleerd worden als de C:inetpub-directory is aangemaakt voordat de update wordt uitgevoerd.

Gebruikers gewaarschuwd om de nieuwe map niet te verwijderen

Hoewel Redmond nog moet uitleggen waarom de beveiligingsupdates deze map überhaupt aanmaken, heeft het bedrijf het advies voor een Windows Process Activation-verheffing van privilegekwetsbaarheid (CVU-2025-21204) bijgewerkt om gebruikers te waarschuwen de nieuwe lege inetpub-map op hun harde schijven niet te verwijderen.

“Na het installeren van de updates die vermeld staan in de tabel met beveiligingsupdates voor uw besturingssysteem, wordt er een nieuwe %systemdrive%inetpub-map aangemaakt op uw apparaat,” zegt Microsoft.

“Deze map mag niet worden verwijderd, ongeacht of Internet Information Services (IIS) actief is op het doelapparaat. Dit gedrag maakt deel uit van wijzigingen die de bescherming vergroten en vereist geen actie van IT-beheerders en eindgebruikers.”

De CVE-2025-21204 beveiligingsfout wordt veroorzaakt door een onjuist probleem met linkresolutie vóór bestandsaccess (‘link following’) in de Windows Update Stack, wat waarschijnlijk betekent dat op niet-gepatchte apparaten Windows Update symbolische links kan volgen op een manier die lokale aanvallers in staat kan stellen het systeem te misleiden om onbedoelde bestanden of mappen te openen of te wijzigen.

Het bedrijf waarschuwt dat succesvolle exploitatie lokale aanvallers met lage privileges in staat kan stellen machtigingen te escaleren en “bestandsbeheerbewerkingen uit te voeren en/of te manipuleren op de getroffen machine in de context van het NT AUTHORITYSYSTEM-account.”

Microsoft heeft niet uitgelegd hoe de inetpub-map “de bescherming zou vergroten,” en BleepingComputer heeft nog geen antwoord gekregen op verdere vragen over het daadwerkelijke doel van de nieuw aangemaakte map.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----