Microsoft выпустила PowerShell-скрипт для восстановления пустой папки inetpub, которая создается после установки обновлений безопасности Windows за апрель 2025 года. Эта папка играет роль в устранении уязвимости повышения привилегий в механизме активации процессов Windows (Windows Process Activation).
После апрельских обновлений пользователи заметили, что на системном диске C появилась пустая папка Inetpub. Данная папка связана с Internet Information Server (IIS), но она создавалась даже на устройствах, на которых веб-сервер IIS не был установлен.
Это вызвало путаницу, и многие решили удалить ее. Однако таким образом система вновь становилась уязвимой к устраненной проблеме. Microsoft ранее пояснила: если папка была удалена, ее можно восстановить вручную, установив компонент Internet Information Services через меню Включение или отключение компонентов Windows.
При этом будет создана новая папка inetpub с нужными файлами и правами, аналогичными тем, что заданы обновлением. Если IIS не нужен, компонент можно сразу же удалить — при этом сама папка C:\inetpub останется.
Microsoft обновила описание уязвимости CVE-2025-21204, добавив в него скрипт для администраторов, позволяющий восстановить папку через PowerShell:
Install-Script -Name Set-InetpubFolderAcl C:\Program` Files\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1
Важно: если при установке скрипта появляется ошибка, связанная с политикой выполнения (по умолчанию установлено Restricted), временно измените её с помощью команды:
Set-ExecutionPolicy RemoteSigned -Scope CurrentUser
После выполнения скрипта можно вернуть политику выполнения в значение по умолчанию:
Set-ExecutionPolicy Default -Scope CurrentUser
Как поясняет Microsoft, скрипт устанавливает корректные права доступа IIS, предотвращая несанкционированный доступ и потенциальные атаки.
Также скрипт обновляет ACL-доступ к каталогу DeviceHealthAttestation на серверах, если тот был создан февральскими обновлениями.
Почему нельзя удалять inetpub
Уязвимость CVE-2025-21204 связана с некорректной обработкой символических ссылок в механизме обновлений Windows.
В незапатченных системах Центр обновления Windows может следовать символическим ссылкам, что может позволить локальным злоумышленникам обмануть ОС, чтобы получить доступ или изменить непреднамеренные файлы или папки.
Успешная эксплуатация позволяет злоумышленникам с низкими привилегиями повышать права и манипулировать или выполнять операции по управлению файлами в контексте учетной записи NT AUTHORITY\SYSTEM.
Microsoft подчеркивает, что папка C:\inetpub была создана намеренно в рамках повышения безопасности, и она не должна удаляться. Редмонд выпустил предупреждение в обновленном бюллетене по уязвимости CVE-2025-21204, чтобы предупредить пользователей не удалять пустую папку %systemdrive%\inetpub.
В бюллетени по безопасности сообщается:
Эту папку не нужно удалять, даже если службы Internet Information Services (IIS) не используются на устройстве. Ее создание — часть изменений, которые улучшают безопасность системы. При этом ничего дополнительно настраивать не нужно — ни администраторам, ни обычным пользователям.
Эксперт по кибербезопасности Кевин Бомонт (Kevin Beaumont) также показал, что обычный пользователь может использовать эту папку, создав символьную ссылку от C:\inetpub к системным файлам, тем самым блокируя установку обновлений Windows.
Последние статьи #Microsoft
• Microsoft обновит окно «Выполнить» в Windows 11 — появился современный интерфейс Modern Run
• Microsoft продолжает перенос настроек из Панели управления в «Параметры» в новых сборках Windows 11
• Microsoft: в Windows 11, версия 25H2 нарушена работа ключевых элементов интерфейса
• Windhawk — мощный инструмент для модификации и тонкой настройки Windows
• Microsoft подтвердила, что обновление Windows 11 вызывает «белые вспышки» при открытии Проводника в тёмной теме
• Обновленный Проводник Windows 11 с предзагрузкой работает медленнее, чем в Windows 10, и потребляет больше памяти