inetpub」フォルダを作成する最近のWindowsセキュリティ更新プログラムは、攻撃者が将来の更新プログラムをインストールできないようにする新たな弱点を導入した。
今月のマイクロソフト・パッチ・チューズデーのセキュリティ更新プログラムをインストールした後、Windowsユーザーは突然、システム・ドライブのルート(通常はC:ドライブ)にSYSTEMアカウントが所有する「inetpub」フォルダが作成されているのを発見した。
このフォルダーは通常、マイクロソフト社のインターネット・インフォメーション・サービス・ウェブ・サーバーに関連するファイルを保存するために使用されるもので、これらのデバイスにはインストールされていなかったため、このフォルダーが作成されたのは奇妙なことだった。
その後、マイクロソフト社は、セキュリティ勧告の更新で、C:³³³³フォルダが、CVE-2025-21204として追跡されているWindowsプロセス起動の特権昇格の脆弱性の修正の一部であることを確認し、同社はこのフォルダを削除しないよう警告した。
「お使いのオペレーティングシステムのセキュリティ更新プログラムの表に記載されている更新プログラムをインストールすると、お使いのデバイスに新しい%systemdrive%inetpubフォルダが作成されます。
「このフォルダは、ターゲット・デバイス上でインターネット・インフォメーション・サービス(IIS)がアクティブであるかどうかにかかわらず、削除しないでください。この動作は、保護を強化するための変更の一部であり、IT管理者やエンドユーザーが何らかのアクションを起こす必要はありません」。
しかし、サイバーセキュリティの専門家であるKevin Beaumont氏は、このフォルダが特定の方法で作成された場合、このフォルダを悪用して、それ以降のWindowsアップデートがインストールされないようにできることを実証した。
「この修正により、Windowsのサービシング・スタックにサービス拒否の脆弱性が導入され、管理者でないユーザーが、今後のWindowsのセキュリティ更新プログラムをすべて停止できるようになることを発見した」とKevin Beaumont氏。
Beaumont氏によると、管理者権限を持たないWindowsユーザーであっても、以下のコマンドを使用することで、C:∕inetpubとC:∕Windowssystem32∕notepad.exeのようなWindowsファイルとの間にジャンクションを作成することができるとのことです。
mklink /j c:⑭inetpub c:⑯windowssystem32⑯notepad.exe
Windowsジャンクションは、同じドライブまたは別のドライブ上の別のフォルダーにアクセスをリダイレクトし、コンテンツが両方の場所に存在するかのように見せるフォルダーの特殊なタイプである。
このジャンクションがアップデートのインストールを妨げている理由を尋ねると、Beaumont氏は、アップデートがファイルではなくフォルダを想定しているためだと思うと答えた。
「サービシング・スタックがc:˶pubをディレクトリと想定しているためだと思います。
マイクロソフトのドキュメントによると、ジャンクションはファイル間ではなく、フォルダ間のリンクを意味している。しかし、この記事の前の画像からわかるように、下の画像のようにジャンクションを作成することは可能だ。
Source :
このジャンクションが作成された状態で、4月のセキュリティ更新プログラムをインストールしようとすると、正しくインストールされず、0x800F081Fエラーコードが表示されます。このコードは、パッケージまたはファイルが見つからないことを意味するエラー「CBS_E_SOURCE_MISSING」に関連しています。
ソース::
Beaumont氏はこのバグをマイクロソフト社に報告したが、マイクロソフト社はこのバグの深刻度を “Medium “に分類し、今後の修正を検討するとして、彼のケースをクローズしたという。
慎重な調査の結果、このケースは現在、深刻度「中」と評価されている。
「これは、’inetpub’フォルダがファイルへのジャンクションである場合にのみアップデートが適用されず、inetpubシンボリックリンクを削除して再試行すると成功するためです。
また、水曜日にマイクロソフト社にこのバグについて問い合わせたが、まだ回答は得られていない。
Comments