Da Microsoft udgav april 2025-sikkerhedsopdateringerne til Windows, begyndte brugere fra hele verden at bemærke, at Microsofts opdatering skabte en tom mappe i hoveddrevet kaldet inetpub.
Dette førte til forvirring, da Microsoft indledningsvis var stramt om tilstedeværelsen af mappen. De officielle udgivelsesnotater indeholdt ingen oplysninger om det. Kort efter afslørede Microsoft, at det oprettede mappen med vilje for at "øge beskyttelsen". Brugere og administratorer blev opfordret til at beholde mappen og ikke pille ved den.
Baggrundsinformation: Microsoft oprettede mappen som et direkte svar på CVE-2025–21204, som gør det muligt for angribere at bruge symbolske links til at øge privilegier.
Det viser sig nu, at oprettelsen af mappen meget vel kan blive brugt af cyberkriminelle til ondsindede formål.
Foreslået læsning:Fix: Windows-sikkerhedsbeskyttelseshistorikken er tom
Sikkerhedsforsker Kevin Beaumont delte oplysninger om problemetpå Medium. Beaumont opdagede, at Microsofts rettelse "indførte en denial of service-sårbarhed i Windows-servicestakken".
Detaljerne:
- Almindelige brugere kan misbruge problemet til at stoppe alle Windows-sikkerhedsopdateringer.
- Det kræver en enkelt kommando fra en almindelig (ikke-forhøjet) prompt for at misbruge problemet.
Det eneste, der kræves, er at oprette et nyt symbolsk link mellem inetpub-mappen og en applikation som notesblok. Symbolske links kræver ikke elevation, hvilket betyder, at angribere ikke behøver at få forhøjet adgang til et system for at blokere fremtidige sikkerhedsopdateringer på det.
Note:Kommandoen givet af Beaumont på hjemmesiden virker forkert, da mklink /j bruges til at oprette forbindelseslinks, der linker til en mappe og ikke en fil. Medmindre jeg mangler noget, skal den enten fjerne /j for at oprette et symbolsk link eller /h for at oprette et hårdt link. Om det også vil blokere Windows-opdateringer er dog uklart.
Når de er kørt, installeres Windows-sikkerhedsopdateringer ikke længere på målmaskinen ifølge Beaumont. De vil smide en fejl og rulle tilbage. Cyberkriminelle kan bruge hacket til at forhindre fremtidige installationer af sikkerhedsopdateringer, hvilket kan løse sikkerhedsproblemer, som de bruger til at angribe systemer.
Beaumont siger, at den eneste måde at løse dette problem på er, at Microsoft løser det. Han rapporterede problemet til Microsoft, men hævder, at Microsoft ikke har svaret endnu.
For at denne sårbarhed kan udnyttes, skal cyberkriminelle få regelmæssig adgang til en Windows-maskine. Alle almindelige måder at beskytte Windows på gælder for at forhindre dette i at ske, herunder at sikre, at Windows er opdateret, ikke installere software fra tvivlsomme kilder eller tillade andre at etablere fjernforbindelser til systemet.
Nu du: hvad er din holdning til dette? Vil du sige, at Microsoft skal være gennemsigtig, når det kommer til at lave disse uanmeldte ændringer til Windows? Du er velkommen til at efterlade en kommentar nedenfor.