[情報] Windows更新產生的Inetpub資料夾恐遭濫凹

Windows更新產生的Inetpub資料夾恐遭濫用，攻擊者能阻止修補其他弱點

文/周峻佑 | 2025-04-28發表

許多人在套用完4月份微軟例行更新（Patch Tuesday）的修補程式之後，發現電腦系統磁區（通常是C:\）會出現名為inetpub的資料夾，此資料夾能否手動刪除，引起用戶的熱烈討論。後續微軟在權限提升漏洞CVE-2025-21204的資安公告裡提出說明，此資料夾是修補該漏洞的一部分，使用者不應將其刪除，但有研究人員發現，微軟透過作業系統更新建立此資料夾，導致inetpub資料夾有可能遭到濫用，攻擊者有機會用來讓使用者無法完成作業系統更新。

基本上，inetpub資料夾通常是啟用了IIS服務才會出現，該資料夾主要是存放與該服務相關元件及檔案，因此一般使用者在未啟用IIS服務的情況下，安裝更新後於系統根目錄看到該資料夾，對於熟悉Windows作業系統檔案結構的用戶而言，出現上述狀況應該會相當錯愕。尤其是，微軟在使用者發現後才進行說明，承認該資料夾的出現與修補漏洞有關，是刻意產生，這種現象相當罕見。

然而，這樣的做法不僅怪異，還有可能會衍生其他問題。資安專家Kevin Beaumont提出警告，他發現微軟建立的這個資料夾，有可能在Windows的服務堆疊（Servicing Stack）更新機制，引入引發阻斷服務（DoS）問題的弱點，導致所有非管理員身分的使用者無法接收未來的更新。

Kevin Beaumont指出，他發現在修補CVE-2025-21204完成的電腦上，攻擊者只要取得一般使用者的權限，下達mklink命令，對C:\inetpub與任意的公用程式（Kevin Beaumont以記事本notepad.exe為例）建立特定資料夾的連接點（Junction Point），結果發現，之後該名使用者若是執行Microsoft Update更新系統，電腦就會出現錯誤訊息，並將原本安裝的更新復原。換言之，這名使用者未來將無法套用任何系統更新。

Kevin Beaumont將這項發現通報微軟，4月25日收到回覆，該公司決定將這項弱點評為中度風險層級，雖然不符合微軟安全回應中心（MSRC）立即處理的標準，但承諾會將通報內容提供給產品維護團隊，未來有可能修復。

但為何設置連結點會擾亂作業系統的更新機制？Kevin Beaumont進一步向資安新聞網站Bleeping Computer透露細節，照理來說，連結點通常會用於兩個資料夾之間的串連，但mklink允許將資料夾與檔案進行連結。在經過上述將inetpub與notepad.exe連結之後，作業系統的服務堆疊更新機制會認為C:\inetpub應該是資料夾，但現在實際存取的卻是檔案，因而造成錯誤。

Bleeping Computer依照Kevin Beaumont的方法進行驗證，結果發現，若是在安裝系統更新前就進行前述的連接點作業，後續安裝更新時，就會出現0x800F081F的錯誤碼，代表找不到特定的套件或是檔案。

https://www.ithome.com.tw/news/168633

當初如果設定成隱藏資料夾不知道還有沒有等同效果

--
推 roy1123:聽說把住址打出來會變米字號呢 我住***************** 02/18 13:54→ hopeofplenty:測試一下 ********************** 02/18 14:17→ tddrean:*****************真的耶 02/18 14:25→ Kovan:***********怎麼打不出地址! 02/18 14:28→ jimmy00102:台中市西屯區四川東街33號 02/18 14:50→ jimmy00102:幹!!!! 02/18 14:51

--