Microsoftは、2025年4月のWindowsセキュリティ更新プログラムによって作成された空の「inetpub」フォルダを削除した場合に復元するためのPowerShellスクリプトを公開した。Microsoftが以前警告したように、このフォルダは、深刻度の高いWindows Process Activationの特権昇格の脆弱性を緩和するのに役立つ。
4月、新しいセキュリティ更新プログラムをインストールした後、Windowsユーザーは突然、空のC:Inetpubフォルダが作成されていることに気づきました。このフォルダはマイクロソフトのインターネット・インフォメーション・サーバーに関連しているため、ユーザーはウェブ・サーバーがインストールされていないときにこのフォルダが作成されたことに困惑した。
そのため、このフォルダを削除してしまい、パッチが適用された脆弱性に対して再び脆弱な状態になってしまう人もいた。マイクロソフト社によると、このフォルダを削除したユーザーは、Windowsの「Windowsの機能をオンまたはオフにする」コントロールパネルからインターネット・インフォメーション・サービスをインストールすることで、手動で再作成できるという。
IISがインストールされると、C:³³ドライブのルートに新しいinetpubフォルダが追加され、ファイルと、4月のWindowsセキュリティ更新プログラムによって作成されたディレクトリと同じSYSTEMの所有者が追加されます。また、IISを使用していない場合は、同じWindowsの機能コントロールパネルを使ってIISをアンインストールし、C:inetpubフォルダを残して削除することができます。
水曜日、CVE-2025-21204アドバイザリの新しい更新で、同社はまた、管理者がPowerShellシェルから以下のコマンドを使用してこのフォルダを再作成するのに役立つ修復スクリプトを共有しました:
Install-Script -Name Set-InetpubFolderAcl C:¥Program FilesWindowsPowerShell¥Scripts¥Set-InetpubFolderAcl.ps1
Redmondの説明によると、このスクリプトは、不正アクセスやCVE-2025-21204に関連する潜在的な脆弱性を防ぐために、正しいIISパーミッションを設定する。
また、Windows Serverシステム上のDeviceHealthAttestationディレクトリのアクセス制御リスト(ACL)エントリを更新し、2025年2月のセキュリティ更新プログラムによって作成された場合の安全性を確保する。
マイクロソフトは”削除しないでください”
この inetpub フォルダー(IIS ウェブサーバープラットフォームが以前にインストールされていないシステムであっても、4 月のセキュリティ更新プログラムによって自動的に作成される)によって緩和されるセキュリティ上の欠陥(CVE-2025-21204)は、Windows Update スタックの不適切なリンク解決の問題によって引き起こされる。
これは、パッチが適用されていないデバイスにおいて、Windows Updateがシンボリックリンクをたどり、ローカルの攻撃者がOSを騙して意図しないファイルやフォルダにアクセスさせたり、変更させたりする可能性があることを意味する。
マイクロソフト社によると、悪用に成功すると、低権限を持つ攻撃者がNT AUTHORITYSYSTEMアカウントのコンテキストで権限を昇格し、ファイル管理操作を操作または実行できるようになるという。
我々のテストでは、このフォルダを削除してもWindowsに問題は生じなかったが、マイクロソフト社は、このフォルダは意図的に作成されたものであり、削除すべきではないと述べて いる。レドモンド社は、CVE-2025-21204セキュリティ欠陥の更新アドバイザリで、空の%systemdrive%inetpubフォルダを削除しないように警告するために、同じ警告を出した。
「このフォルダは、ターゲット・デバイス上でインターネット・インフォメーション・サービス(IIS)がアクティブであるかどうかにかかわらず、削除しないでください。この動作は、保護を強化するための変更の一部であり、IT管理者やエンドユーザーが何かする必要はありません」と同社は注意を促している。
また、サイバーセキュリティの専門家であるKevin Beaumont氏は、管理者でないユーザーがこのフォルダを悪用し、C:∕inetpubと任意のWindowsファイルの間にジャンクションを作成することで、Windowsアップデートがインストールされないようにブロックできることを実証した。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
ITチームが手作業によるパッチ管理をやめる理由
かつてはパッチ適用といえば、複雑なスクリプト、長時間の作業、終わりのない消火訓練が必要でした。今は違います。
この新しいガイドでは、Tines氏が最新のIT組織が自動化によってどのようにレベルアップしているかを解説している。複雑なスクリプトは必要ありません。
Comments