Windows Inetpub-beveiligingsfix kan misbruikt worden om updates te blokkeren
Een recente Windows-beveiligingsupdate heeft een nieuwe kwetsbaarheid geïntroduceerd die aanvallers de kans geeft toekomstige updates te blokkeren. Na installatie van de Microsoft Patch Tuesday-updates zagen Windows-gebruikers ineens een "inetpub" map verschijnen, aangemaakt onder het beheer van het SYSTEM-account op de C-schijf.
Dit was opmerkelijk, aangezien de map normaal gesproken bestanden bevat voor de Internet Information Service (IIS) webserver van Microsoft, die niet op deze apparaten was geïnstalleerd. Microsoft bevestigde later dat de C:inetpub map onderdeel was van een beveiligingsoplossing voor een privilege-eskalatieprobleem in Windows, bekend als CVE-2025-21204. Het verwijderen van deze map werd sterk afgeraden.
Ondanks de waarschuwingen ontdekte cybersecurity-expert Kevin Beaumont dat deze map misbruikt kan worden om toekomstige Windows-updates te verhinderen. Volgens Beaumont kunnen zelfs gebruikers zonder beheerdersrechten een koppeling maken tussen C:inetpub en een Windows-bestand, zoals C:windowssystem32notepad.exe. Dit gebeurt via de volgende opdracht:
mklink /j c:inetpub c:windowssystem32notepad.exeDeze speciale virtuele map geeft toegang tot een andere map, waardoor het lijkt alsof de inhoud op beide locaties aanwezig is.
Beaumont legt uit dat de update daardoor niet geïnstralleerd kan worden, omdat deze een map verwacht in plaats van een bestand. Hierdoor treedt een foutcode 0x800F081F op, wat betekent dat een pakket of bestand niet gevonden is.
Beaumont meldde het probleem aan Microsoft, dat het een "Gemiddelde" ernst toekent. Hoewel Microsoft overweegt dit probleem in de toekomst op te lossen, voldoet het niet aan de criteria voor onmiddellijke actie omdat het probleem verdwijnt zodra de symlink wordt verwijderd.
Tot nu toe heeft Microsoft nog geen verdere reactie gegeven op vragen van BleepingComputer over deze kwetsbaarheid.
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.