Удалил папку — открыл уязвимость: Microsoft выпустила "лечение" дыры в защите Windows
NewsMakerОткуда берётся таинственная папка на диске C и что она охраняет.
После апрельских обновлений безопасности Windows 2025 года пользователи заметили странное поведение системы — на корневом разделе появлялась пустая папка C:\inetpub , даже если на компьютере никогда не был установлен веб-сервер IIS. Это вызвало недоумение и волну удаления «ненужной» директории, что, как теперь выяснилось, открывает серьёзную уязвимость в системе.
Изначально Microsoft объяснила, что новая папка была создана в рамках устранения проблемы с повышением привилегий ( CVE-2025-21204 ), связанной с неправильной обработкой символических ссылок в стеке обновлений Windows. Уязвимость позволяла локальным пользователям с низким уровнем доступа выполнять операции с системными файлами от имени NT AUTHORITY\SYSTEM — то есть с максимальными правами в системе.
Папка inetpub создаётся обновлением безопасности автоматически и защищена специальными правами доступа. Несмотря на то, что она пуста, она играет ключевую роль в защите системы от обхода механизма обновлений через подмену ссылок. Специалист Кевин Бомонт продемонстрировал , что без должной защиты, обычный пользователь может создать символьную связь от C:\inetpub к любому системному объекту, тем самым мешая работе Windows Update.
Тем не менее, многие пользователи посчитали появление папки багом и удалили её, особенно на машинах без IIS. В результате уязвимость снова становилась актуальной. Microsoft пояснила, что папку можно восстановить вручную путём установки IIS через стандартную панель управления Windows («Включение и отключение компонентов»), после чего inetpub будет создана заново с нужными атрибутами. Далее IIS можно удалить, но сама папка останется — что и нужно для защиты.
Чтобы упростить задачу администраторам и уменьшить риск ошибок, Microsoft опубликовала PowerShell-скрипт, который позволяет восстановить нужные атрибуты без необходимости ставить и удалять IIS. Скрипт
Выполнить скрипт можно следующими командами:
Microsoft обновила бюллетень по CVE-2025-21204 , в очередной раз настоятельно предупредив, что удаление папки C:\inetpub чревато уязвимостью в Windows. Даже если она кажется бесполезной, она выполняет роль барьера от атак, использующих символические ссылки для получения доступа к защищённым ресурсам.
Создание этой папки и её защита — часть архитектурных изменений, направленных на снижение риска несанкционированного повышения прав и нарушения целостности обновлений. Подобные изменения становятся особенно актуальными на фоне растущего числа атак, эксплуатирующих локальные слабости в системных механизмах.
После апрельских обновлений безопасности Windows 2025 года пользователи заметили странное поведение системы — на корневом разделе появлялась пустая папка C:\inetpub , даже если на компьютере никогда не был установлен веб-сервер IIS. Это вызвало недоумение и волну удаления «ненужной» директории, что, как теперь выяснилось, открывает серьёзную уязвимость в системе.
Изначально Microsoft объяснила, что новая папка была создана в рамках устранения проблемы с повышением привилегий ( CVE-2025-21204 ), связанной с неправильной обработкой символических ссылок в стеке обновлений Windows. Уязвимость позволяла локальным пользователям с низким уровнем доступа выполнять операции с системными файлами от имени NT AUTHORITY\SYSTEM — то есть с максимальными правами в системе.
Папка inetpub создаётся обновлением безопасности автоматически и защищена специальными правами доступа. Несмотря на то, что она пуста, она играет ключевую роль в защите системы от обхода механизма обновлений через подмену ссылок. Специалист Кевин Бомонт продемонстрировал , что без должной защиты, обычный пользователь может создать символьную связь от C:\inetpub к любому системному объекту, тем самым мешая работе Windows Update.
Тем не менее, многие пользователи посчитали появление папки багом и удалили её, особенно на машинах без IIS. В результате уязвимость снова становилась актуальной. Microsoft пояснила, что папку можно восстановить вручную путём установки IIS через стандартную панель управления Windows («Включение и отключение компонентов»), после чего inetpub будет создана заново с нужными атрибутами. Далее IIS можно удалить, но сама папка останется — что и нужно для защиты.
Чтобы упростить задачу администраторам и уменьшить риск ошибок, Microsoft опубликовала PowerShell-скрипт, который позволяет восстановить нужные атрибуты без необходимости ставить и удалять IIS. Скрипт
Set-InetpubFolderAcl устанавливает правильные разрешения для папки inetpub и одновременно обновляет список контроля доступа (ACL) для директории DeviceHealthAttestation — ещё одного компонента, затронутого в обновлении февраля 2025 года. Выполнить скрипт можно следующими командами:
Компания подчёркивает, что папка inetpub должна сохраняться в системе независимо от того, используется ли IIS. Это не ошибка, а мера повышения защиты, которая не требует дополнительных действий от конечных пользователей или администраторов.Install-Script -Name Set-InetpubFolderAcl C:\Program` Files\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1
Microsoft обновила бюллетень по CVE-2025-21204 , в очередной раз настоятельно предупредив, что удаление папки C:\inetpub чревато уязвимостью в Windows. Даже если она кажется бесполезной, она выполняет роль барьера от атак, использующих символические ссылки для получения доступа к защищённым ресурсам.
Создание этой папки и её защита — часть архитектурных изменений, направленных на снижение риска несанкционированного повышения прав и нарушения целостности обновлений. Подобные изменения становятся особенно актуальными на фоне растущего числа атак, эксплуатирующих локальные слабости в системных механизмах.