Windows更新产生的Inetpub资料夹恐遭滥用，攻击者能阻止修补其他弱点
文/周峻佑 | 2025-04-28发表
许多人在套用完4月份微软例行更新（Patch Tuesday）的修补程式之后，发现电脑系统磁区（通常是C:\）会出现名为inetpub的资料夹，此资料夹能否手动删除，引起用户的热烈讨论。后续微软在权限提升漏洞CVE-2025-21204的资安公告里提出说明，此资料夹是修补该漏洞的一部分，使用者不应将其删除，但有研究人员发现，微软透过作业系统更新建立此资料夹，导致inetpub资料夹有可能遭到滥用，攻击者有机会用来让使用者无法完成作业系统更新。
基本上，inetpub资料夹通常是启用了IIS服务才会出现，该资料夹主要是存放与该服务相关元件及档案，因此一般使用者在未启用IIS服务的情况下，安装更新后于系统根目录看到该资料夹，对于熟悉Windows作业系统档案结构的用户而言，出现上述状况应该会相当错愕。尤其是，微软在使用者发现后才进行说明，承认该资料夹的出现与修补漏洞有关，是刻意产生，这种现象相当罕见。
然而，这样的做法不仅怪异，还有可能会衍生其他问题。资安专家Kevin Beaumont提出警告，他发现微软建立的这个资料夹，有可能在Windows的服务堆叠（Servicing Stack）更新机制，引入引发阻断服务（DoS）问题的弱点，导致所有非管理员身分的使用者无法接收未来的更新。
Kevin Beaumont指出，他发现在修补CVE-2025-21204完成的电脑上，攻击者只要取得一般使用者的权限，下达mklink命令，对C:\inetpub与任意的公用程式（Kevin Beaumont以记事本notepad.exe为例）建立特定资料夹的连接点（Junction Point），结果发现，之后该名使用者若是执行Microsoft Update更新系统，电脑就会出现错误讯息，并将原本安装的更新复原。换言之，这名使用者未来将无法套用任何系统更新。
Kevin Beaumont将这项发现通报微软，4月25日收到回复，该公司决定将这项弱点评为中度风险层级，虽然不符合微软安全回应中心（MSRC）立即处理的标准，但承诺会将通报内容提供给产品维护团队，未来有可能修复。
但为何设置连结点会扰乱作业系统的更新机制？Kevin Beaumont进一步向资安新闻网站Bleeping Computer透露细节，照理来说，连结点通常会用于两个资料夹之间的串连，但mklink允许将资料夹与档案进行连结。在经过上述将inetpub与notepad.exe连结之后，作业系统的服务堆叠更新机制会认为C:\inetpub应该是资料夹，但现在实际存取的却是档案，因而造成错误。
Bleeping Computer依照Kevin Beaumont的方法进行验证，结果发现，若是在安装系统更新前就进行前述的连接点作业，后续安装更新时，就会出现0x800F081F的错误码，代表找不到特定的套件或是档案。
https://www.ithome.com.tw/news/168633
当初如果设定成隐藏资料夹不知道还有没有等同效果