A Microsoft lançou um script em PowerShell para ajudar a restaurar uma pasta 'inetpub' vazia criada pelas atualizações de segurança do Windows de Abril de 2025, caso seja deletada.
Como a Microsoft havia previamente alertado, esta pasta ajuda a mitigar uma vulnerabilidade de escalonamento de privilégio de alta gravidade no Windows Process Activation.
Em abril, após a instalação das novas atualizações de segurança, usuários do Windows de repente perceberam que uma pasta C:\Inetpub vazia foi criada.
Como esta pasta está associada ao servidor de Internet Information Services da Microsoft, foi confuso para os usuários que ela tenha sido criada mesmo sem a instalação do servidor web.
Isso levou algumas pessoas a removerem a pasta, tornando-as vulneráveis novamente à vulnerabilidade corrigida.
A Microsoft informou que os usuários que a removeram podem recriá-la manualmente, instalando os Internet Information Services pelo painel de controle "Ativar ou desativar recursos do Windows".
Uma vez que o IIS seja instalado, uma nova pasta inetpub será adicionada à raiz do drive C:\, com arquivos e a mesma propriedade do SISTEMA como o diretório criado pelas atualizações de segurança do Windows de abril.
Além disso, se você não usa o IIS, pode desinstalá-lo usando o mesmo painel de controle de Recursos do Windows, deixando a pasta C:\inetpub para trás.
Na quarta-feira, em uma nova atualização para o aviso
CVE-2025-21204
, a empresa também compartilhou um script de remediação que ajuda administradores a recriar essa pasta a partir de um shell PowerShell usando os seguintes comandos:
Conforme a Redmond explica, o script definirá as permissões corretas do IIS para prevenir acesso não autorizado e potenciais vulnerabilidades relacionadas ao
CVE-2025-21204
.
Ele também atualizará as entradas da lista de controle de acesso (ACL) para o diretório DeviceHealthAttestation em sistemas Windows Server para garantir sua segurança se criado pelas atualizações de segurança de fevereiro de 2025.
A falha de segurança (
CVE-2025-21204
) mitigada por esta pasta inetpub (criada automaticamente pelas atualizações de segurança de abril mesmo em sistemas onde a plataforma de servidor web IIS não estava previamente instalada) é causada por um problema de resolução de link inadequada no Stack de Atualização do Windows.
Isso provavelmente significa que o Windows Update pode seguir links simbólicos em dispositivos não corrigidos de uma maneira que pode permitir que atacantes locais enganem o OS para acessar ou modificar arquivos ou pastas não intencionais.
A Microsoft diz que a exploração bem-sucedida permite que atacantes com baixos privilégios escalem permissões e manipulem ou realizem operações de gerenciamento de arquivos no contexto da conta NT AUTHORITY\SYSTEM.
Embora a remoção da pasta não tenha causado problemas ao usar o Windows em nossos testes, a Microsoft informou ao BleepingComputer que ela foi intencionalmente criada e não deve ser deletada.
A Redmond emitiu o mesmo alerta em um aviso atualizado para a falha de segurança
CVE-2025-21204
para avisar aos usuários para não deletarem a pasta %systemdrive%\inetpub vazia.
"Esta pasta não deve ser deletada, independentemente de os Internet Information Services (IIS) estarem ativos no dispositivo alvo.
Este comportamento faz parte de mudanças que aumentam a proteção e não requer qualquer ação por parte dos administradores de TI e dos usuários finais", alertou a empresa.
O especialista em cibersegurança Kevin Beaumont também demonstrou que usuários não-administradores podem abusar dessa pasta para bloquear a instalação de atualizações do Windows, criando uma junção entre C:\inetpub e qualquer arquivo do Windows.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...