當微軟發布 2025 年 4 月的 Windows 安全更新時,來自世界各地的用戶開始注意到微軟的更新在主驅動器中創建了一個名為 inetpub 的空文件夾。
這導致了混亂,因為微軟最初對該文件夾的存在守口如瓶。官方發行說明中沒有包含任何有關它的信息。此後不久,微軟透露其創建該文件夾的目的是“增強保護”。鼓勵用戶和管理員保留該文件夾而不是對其進行修改。
背景資料:Microsoft 創建該文件夾是為了直接響應 CVE-2025-21204,它允許攻擊者使用符號鏈接來提升權限。
現在事實證明,該文件夾的創建很可能被網絡犯罪分子用於邪惡目的。
安全研究員 Kevin Beaumont 分享了有關該問題的信息在媒體上。 Beaumont 發現 Microsoft 的修復“在 Windows 服務堆棧中引入了拒絕服務漏洞”。
詳細信息:
- 普通用戶可能會濫用該問題來停止所有 Windows 安全更新。
- 只需一個命令即可發出常規(非提升)提示來濫用該問題。
所需要做的就是在 inetpub 文件夾和記事本等應用程序之間創建一個新的符號鏈接。符號鏈接不需要提升權限,這意味著攻擊者不需要獲得對系統的提升訪問權限來阻止未來的安全更新。
筆記:Beaumont 在網站上給出的命令似乎是錯誤的,因為 mklink /j 用於創建鏈接到目錄而不是文件的聯結鏈接。除非我遺漏了某些東西,否則它需要取消 /j 創建符號鏈接或 /h 創建硬鏈接。不過,這是否也會阻止 Windows 更新尚不清楚。
根據 Beaumont 的說法,一旦運行,Windows 安全更新將不再安裝在目標計算機上。他們會拋出錯誤並回滾。網絡犯罪分子可能會利用該黑客行為來阻止未來安裝安全更新,這可能會修復他們用來攻擊系統的安全問題。
博蒙特表示,解決此問題的唯一方法是讓微軟修復它。他向微軟報告了這個問題,但聲稱微軟尚未做出回應。
為了利用此漏洞,網絡犯罪分子需要定期訪問 Windows 計算機。保護 Windows 的所有常見方法都適用於防止這種情況發生,包括確保 Windows 是最新的、不安裝來自可疑來源的軟件或允許其他人建立到系統的遠程連接。
現在你:你對此有何看法?您是否認為微軟在對 Windows 進行這些未經宣布的更改時需要保持透明?請隨時在下面發表評論。