Da Microsoft ga ut sikkerhetsoppdateringene for Windows fra april 2025, begynte brukere fra hele verden å legge merke til at Microsofts oppdatering opprettet en tom mappe i hovedstasjonen kalt inetpub.
Dette førte til forvirring, ettersom Microsoft i utgangspunktet var ordknapp om tilstedeværelsen av mappen. De offisielle utgivelsesnotatene inneholdt ingen informasjon om det. Kort tid etter avslørte Microsoft at den opprettet mappen med vilje for å "øke beskyttelsen". Brukere og administratorer ble oppfordret til å beholde mappen og ikke tukle med den.
Bakgrunnsinformasjon: Microsoft opprettet mappen som et direkte svar på CVE-2025–21204, som lar angripere bruke symbolkoblinger for å heve privilegier.
Det viser seg nå at opprettelsen av mappen meget vel kan brukes av nettkriminelle til ondsinnede formål.
Sikkerhetsforsker Kevin Beaumont delte informasjon om problemetpå Medium. Beaumont oppdaget at Microsofts reparasjon "introduserte et tjenestenektssårbarhet i Windows-servicestabelen".
Detaljene:
- Vanlige brukere kan misbruke problemet for å stoppe alle Windows-sikkerhetsoppdateringer.
- Det tar en enkelt kommando til fra en vanlig (ikke-forhøyet) forespørsel for å misbruke problemet.
Alt som kreves er å opprette en ny symbolsk kobling mellom inetpub-mappen og en applikasjon som notisblokk. Symbolske lenker krever ikke heving, noe som betyr at angripere ikke trenger å få økt tilgang til et system for å blokkere fremtidige sikkerhetsoppdateringer på det.
Note:Kommandoen gitt av Beaumont på nettstedet virker feil ettersom mklink /j brukes til å lage koblingskoblinger som lenker til en katalog og ikke en fil. Med mindre jeg mangler noe, må den enten fjerne /j for å lage en symbolsk lenke eller /h for å lage en hard lenke. Hvorvidt det også kommer til å blokkere Windows-oppdateringer er imidlertid uklart.
Når de er kjørt, vil ikke lenger Windows-sikkerhetsoppdateringer installeres på målmaskinen ifølge Beaumont. De vil kaste en feil og rulle tilbake. Nettkriminelle kan bruke hacket for å forhindre fremtidige installasjoner av sikkerhetsoppdateringer, noe som kan fikse sikkerhetsproblemer som de bruker til å angripe systemer.
Beaumont sier at den eneste måten å løse dette problemet på er at Microsoft fikser det. Han rapporterte problemet til Microsoft, men hevder at Microsoft ikke har svart ennå.
For at denne sårbarheten skal utnyttes, må nettkriminelle få regelmessig tilgang til en Windows-maskin. Alle vanlige måter å beskytte Windows på gjelder for å forhindre at dette skjer, inkludert å sørge for at Windows er oppdatert, ikke installere programvare fra tvilsomme kilder eller la andre etablere eksterne tilkoblinger til systemet.
Nå du: hva synes du om dette? Vil du si at Microsoft må være gjennomsiktig når det gjelder å gjøre disse uanmeldte endringene i Windows? Legg gjerne igjen en kommentar nedenfor.