PTT推薦

[情報] Windows更新產生的Inetpub資料夾恐遭濫凹

看板PC_Shopping標題[情報] Windows更新產生的Inetpub資料夾恐遭濫凹作者
hn9480412
(ilinker)
時間推噓 2 推:6 噓:4 →:9

Windows更新產生的Inetpub資料夾恐遭濫用,攻擊者能阻止修補其他弱點


文/周峻佑 | 2025-04-28發表

許多人在套用完4月份微軟例行更新(Patch Tuesday)的修補程式之後,發現電腦系統磁區(通常是C:\)會出現名為inetpub的資料夾,此資料夾能否手動刪除,引起用戶的熱烈討論。後續微軟在權限提升漏洞CVE-2025-21204的資安公告裡提出說明,此資料夾是修補該漏洞的一部分,使用者不應將其刪除,但有研究人員發現,微軟透過作業系統更新建立此資料夾,導致inetpub資料夾有可能遭到濫用,攻擊者有機會用來讓使用者無法完成作業系統更新。

基本上,inetpub資料夾通常是啟用了IIS服務才會出現,該資料夾主要是存放與該服務相關元件及檔案,因此一般使用者在未啟用IIS服務的情況下,安裝更新後於系統根目錄看到該資料夾,對於熟悉Windows作業系統檔案結構的用戶而言,出現上述狀況應該會相當錯愕。尤其是,微軟在使用者發現後才進行說明,承認該資料夾的出現與修補漏洞有關,是刻意產生,這種現象相當罕見。

然而,這樣的做法不僅怪異,還有可能會衍生其他問題。資安專家Kevin Beaumont提出警告,他發現微軟建立的這個資料夾,有可能在Windows的服務堆疊(Servicing Stack)更新機制,引入引發阻斷服務(DoS)問題的弱點,導致所有非管理員身分的使用者無法接收未來的更新。

Kevin Beaumont指出,他發現在修補CVE-2025-21204完成的電腦上,攻擊者只要取得一般使用者的權限,下達mklink命令,對C:\inetpub與任意的公用程式(Kevin Beaumont以記事本notepad.exe為例)建立特定資料夾的連接點(Junction Point),結果發現,之後該名使用者若是執行Microsoft Update更新系統,電腦就會出現錯誤訊息,並將原本安裝的更新復原。換言之,這名使用者未來將無法套用任何系統更新。

Kevin Beaumont將這項發現通報微軟,4月25日收到回覆,該公司決定將這項弱點評為中度風險層級,雖然不符合微軟安全回應中心(MSRC)立即處理的標準,但承諾會將通報內容提供給產品維護團隊,未來有可能修復。

但為何設置連結點會擾亂作業系統的更新機制?Kevin Beaumont進一步向資安新聞網站Bleeping Computer透露細節,照理來說,連結點通常會用於兩個資料夾之間的串連,但mklink允許將資料夾與檔案進行連結。在經過上述將inetpub與notepad.exe連結之後,作業系統的服務堆疊更新機制會認為C:\inetpub應該是資料夾,但現在實際存取的卻是檔案,因而造成錯誤。

Bleeping Computer依照Kevin Beaumont的方法進行驗證,結果發現,若是在安裝系統更新前就進行前述的連接點作業,後續安裝更新時,就會出現0x800F081F的錯誤碼,代表找不到特定的套件或是檔案。


https://www.ithome.com.tw/news/168633

當初如果設定成隱藏資料夾不知道還有沒有等同效果

--
roy1123:聽說把住址打出來會變米字號呢 我住***************** 02/18 13:54 hopeofplenty:測試一下 ********************** 02/18 14:17 tddrean:*****************真的耶 02/18 14:25 Kovan:***********怎麼打不出地址! 02/18 14:28 jimmy00102:台中市西屯區四川東街33號 02/18 14:50 jimmy00102:幹!!!! 02/18 14:51

--

※ PTT留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.125.187.40 (臺灣)
PTT 網址

Depthsharky 04/28 23:01正版受害者

Depthsharky 04/28 23:02不能更新 算是德政嗎

DrGun 04/28 23:03您可能4正版軟體der受害者

CyBw 04/28 23:07補一個洞,挖了兩個洞

DendiQ 04/28 23:22樓下會說:那不是更好了嗎

Koogeal 04/28 23:32好噎!

franchy 04/28 23:45Windows更新越來越爛了...

pcfox 04/28 23:56e04

GBO5 04/28 23:58最近更新把開始訂選的檔案右鍵紀錄給砍了

selfhu 04/29 00:06mklink...

ClixTW 04/29 00:09最噁心的是根目錄只有這目錄是小寫開頭

WLR 04/29 00:47不能更新,那不是bug,是feature

AbeNana 04/29 00:49靠 11樓不該把這個講出來 我強迫症發作了

kaltu 04/29 00:57原來是停用更新強暴教學,我還以為是提漏洞

kaltu 04/29 00:57

Jkyzer 04/29 01:01https://i.imgur.com/q6VBD1c.jpeg

yeeouo 04/29 01:36可以設成隱藏吧(? 反正根目錄本來就有其

yeeouo 04/29 01:36他隱藏的東西

estupid 04/29 03:54藏在C:\windows下沒人會發現