Μια πρόσφατη ενημέρωση ασφαλείας των Windows που δημιουργεί ένα φάκελο “inetPub” έχει εισαγάγει μια νέα αδυναμία που επιτρέπει στους επιτιθέμενους να αποτρέψουν την εγκατάσταση μελλοντικών ενημερώσεων.
Αφού οι άνθρωποι εγκατέστησαν τις ενημερώσεις ασφαλείας της Microsoft της Microsoft της Microsoft του μήνα, οι χρήστες των Windows βρήκαν ξαφνικά ένα φάκελο “inetPub” που ανήκει στον λογαριασμό του συστήματος που δημιουργήθηκε στη ρίζα της μονάδας δίσκου συστήματος, κανονικά το C: Drive.
Ήταν περίεργο να βλέπουμε αυτόν τον φάκελο να δημιουργηθεί, καθώς χρησιμοποιείται κανονικά για τη συγκράτηση αρχείων που σχετίζονται με τον διακομιστή Web Internet Internet Internet Internet, ο οποίος δεν ήταν εγκατεστημένος σε αυτές τις συσκευές.
Σε μια ενημέρωση σε ένα συμβουλευτική ασφάλειαΗ Microsoft επιβεβαίωσε αργότερα ότι ο φάκελος C: \ inetpub ήταν μέρος μιας επιδιόρθωσης για μια ανύψωση ενεργοποίησης της διαδικασίας των Windows της ευπάθειας προνομίων που παρακολουθείται ως CVE-2025-21204, με την εταιρεία να προειδοποιεί να μην διαγράψει το φάκελο.
“Μετά την εγκατάσταση των ενημερώσεων που αναφέρονται στον πίνακα ενημερώσεων ασφαλείας για το λειτουργικό σας σύστημα, θα δημιουργηθεί ένας νέος φάκελος SystemDrive %\ inetPub στη συσκευή σας”. επιβεβαιωμένη Microsoft.
“Αυτός ο φάκελος δεν πρέπει να διαγραφεί ανεξάρτητα από το αν οι υπηρεσίες πληροφοριών Internet (IIS) είναι ενεργές στη συσκευή προορισμού. Αυτή η συμπεριφορά αποτελεί μέρος των αλλαγών που αυξάνουν την προστασία και δεν απαιτούν καμία ενέργεια από τους διαχειριστές και τους τελικούς χρήστες”.
Ωστόσο, ο εμπειρογνώμονας στον κυβερνοχώρο Kevin Beaumont έχει αποδείξει ότι αυτός ο φάκελος μπορεί να κακοποιηθεί για να αποτρέψει την εγκατάσταση περαιτέρω ενημερώσεων των Windows εάν δημιουργηθεί με κάποιο τρόπο.
“Έχω ανακαλύψει ότι αυτή η επιδιόρθωση εισάγει μια ευπάθεια άρνησης υπηρεσίας στη στοίβα εξυπηρέτησης των Windows που επιτρέπει στους χρήστες μη ADMIN να σταματήσουν όλες τις μελλοντικές ενημερώσεις ασφαλείας των Windows”, Kevin Beaumont.
Σε μια νέα αναφορά, Ο Beaumont λέει Ότι οι χρήστες των Windows, ακόμη και εκείνοι που δεν έχουν διοικητικά προνόμια, μπορούν να δημιουργήσουν μια διασταύρωση μεταξύ C: \ inetPub και αρχείου Windows, όπως C: \ Windows \ System32 \ notepad.exe χρησιμοποιώντας την ακόλουθη εντολή.
mklink /j c:\inetpub c:\windows\system32\notepad.exe
Μια διασταύρωση των Windows είναι ένας ειδικός τύπος φακέλου που ανακατευθύνει την πρόσβαση σε έναν άλλο φάκελο στην ίδια ή άλλη μονάδα δίσκου, καθιστώντας την εμφάνιση σαν το περιεχόμενο να υπάρχει και στις δύο θέσεις.
Όταν ρωτήθηκε γιατί αυτή η διασταύρωση εμποδίζει την εγκατάσταση της ενημέρωσης, ο Beaumont λέει ότι πιστεύει ότι είναι επειδή η ενημέρωση αναμένει ένα φάκελο και όχι ένα αρχείο.
“Λειτουργεί με βασικά οποιοδήποτε αρχείο, νομίζω ότι είναι επειδή η στοίβα συντήρησης αναμένει ότι το C: \ inetPub θα είναι ένας κατάλογος – αλλά το MKLink σάς επιτρέπει να κάνετε μια διασταύρωση σε ένα αρχείο”, δήλωσε ο Beaumont στο BleepingComputer.
Σύμφωνα με Τεκμηρίωση της Microsoftοι διασταυρώσεις προορίζονται να είναι συνδέσεις μεταξύ των φακέλων και όχι μεταξύ των αρχείων. Ωστόσο, όπως μπορείτε να δείτε από την εικόνα νωρίτερα στο άρθρο, είναι ακόμα δυνατό να δημιουργήσετε ένα όπως φαίνεται στην παρακάτω εικόνα.
Πηγή: BleepingComputer
Με αυτή τη διασταύρωση που δημιουργήθηκε, αν προσπαθήσετε να εγκαταστήσετε την ενημέρωση ασφαλείας του Απριλίου, δεν θα εγκατασταθεί σωστά, δίνοντας ένα 0x800f081f κωδικός σφάλματος. Αυτός ο κωδικός σχετίζεται με το σφάλμα “CBS_E_SOURCE_MISSING”, που σημαίνει ότι δεν βρέθηκε ένα πακέτο ή αρχείο.
Πηγή: BleepingComputer:
Ο Beaumont λέει ότι ανέφερε το σφάλμα στη Microsoft, η οποία του έχει αναθέσει μια “μέση” ταξινόμηση σοβαρότητας και έκλεισε την περίπτωσή του, δηλώνοντας ότι θα εξετάσουν το ενδεχόμενο να το διορθώσουν στο μέλλον.
“Μετά από προσεκτική έρευνα, αυτή η υπόθεση χαρακτηρίζεται επί του παρόντος ως ένα μέτριο ζήτημα σοβαρότητας,” Η Microsoft με ηλεκτρονικό ταχυδρομείο Beaumont.
“Δεν πληροί τις τρέχουσες γραμμές MSRCS για άμεση εξυπηρέτηση, καθώς η ενημέρωση αποτυγχάνει να εφαρμοστεί μόνο εάν ο φάκελος” inetPub “είναι μια διασταύρωση σε ένα αρχείο και επιτυγχάνει κατά τη διαγραφή του symlink inetPub και της επανάληψης”.
Ο BleepingComputer ήρθε επίσης σε επαφή με τη Microsoft σχετικά με αυτό το σφάλμα την Τετάρτη, αλλά δεν έχει λάβει ακόμα απάντηση.
VIA: bleepingcomputer.com
