Microsoft выпустила PowerShell-скрипт для восстановления пустой папки inetpub, которая создается после установки обновлений безопасности Windows за апрель 2025 года. Эта папка играет роль в устранении уязвимости повышения привилегий в механизме активации процессов Windows (Windows Process Activation).
После апрельских обновлений пользователи заметили, что на системном диске C появилась пустая папка Inetpub. Данная папка связана с Internet Information Server (IIS), но она создавалась даже на устройствах, на которых веб-сервер IIS не был установлен.
Это вызвало путаницу, и многие решили удалить ее. Однако таким образом система вновь становилась уязвимой к устраненной проблеме. Microsoft ранее пояснила: если папка была удалена, ее можно восстановить вручную, установив компонент Internet Information Services через меню Включение или отключение компонентов Windows.
При этом будет создана новая папка inetpub с нужными файлами и правами, аналогичными тем, что заданы обновлением. Если IIS не нужен, компонент можно сразу же удалить — при этом сама папка C:\inetpub останется.
Microsoft обновила описание уязвимости CVE-2025-21204, добавив в него скрипт для администраторов, позволяющий восстановить папку через PowerShell:
Install-Script -Name Set-InetpubFolderAcl C:\Program` Files\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1
Важно: если при установке скрипта появляется ошибка, связанная с политикой выполнения (по умолчанию установлено Restricted), временно измените её с помощью команды:
Set-ExecutionPolicy RemoteSigned -Scope CurrentUser
После выполнения скрипта можно вернуть политику выполнения в значение по умолчанию:
Set-ExecutionPolicy Default -Scope CurrentUser
Как поясняет Microsoft, скрипт устанавливает корректные права доступа IIS, предотвращая несанкционированный доступ и потенциальные атаки.
Также скрипт обновляет ACL-доступ к каталогу DeviceHealthAttestation на серверах, если тот был создан февральскими обновлениями.
Почему нельзя удалять inetpub
Уязвимость CVE-2025-21204 связана с некорректной обработкой символических ссылок в механизме обновлений Windows.
В незапатченных системах Центр обновления Windows может следовать символическим ссылкам, что может позволить локальным злоумышленникам обмануть ОС, чтобы получить доступ или изменить непреднамеренные файлы или папки.
Успешная эксплуатация позволяет злоумышленникам с низкими привилегиями повышать права и манипулировать или выполнять операции по управлению файлами в контексте учетной записи NT AUTHORITY\SYSTEM.
Microsoft подчеркивает, что папка C:\inetpub была создана намеренно в рамках повышения безопасности, и она не должна удаляться. Редмонд выпустил предупреждение в обновленном бюллетене по уязвимости CVE-2025-21204, чтобы предупредить пользователей не удалять пустую папку %systemdrive%\inetpub.
В бюллетени по безопасности сообщается:
Эту папку не нужно удалять, даже если службы Internet Information Services (IIS) не используются на устройстве. Ее создание — часть изменений, которые улучшают безопасность системы. При этом ничего дополнительно настраивать не нужно — ни администраторам, ни обычным пользователям.
Эксперт по кибербезопасности Кевин Бомонт (Kevin Beaumont) также показал, что обычный пользователь может использовать эту папку, создав символьную ссылку от C:\inetpub к системным файлам, тем самым блокируя установку обновлений Windows.
Последние статьи #Microsoft
• Microsoft превращает Windows 11 в «говорящий» ИИ-ПК: теперь Copilot сможет видеть экран и выполнять действия от имени пользователя
• Microsoft переносит производство Surface и серверного оборудования из Китая
• Windows 11 теперь может автоматически переключаться между светлым и тёмным режимами – с помощью Microsoft PowerToys
• Microsoft намекает на «что-то грандиозное» для Windows — анонс уже сегодня
• Microsoft PowerToys 0.95: новая утилита Light Switch для автоматического переключения светлой и темной темы Windows
• Microsoft AI представила MAI-Image-1 – свой первый собственный генератор изображений