Microsoft, silinirse Nisan 2025 Windows güvenlik güncellemeleri tarafından oluşturulan boş bir ‘inetpub’ klasörünü geri yüklemeye yardımcı olmak için bir PowerShell komut dosyası yayınladı. Microsoft’un daha önce uyarıldığı gibi, bu klasör yüksek şiddetli bir Windows Process Activation ayrıcalığına yükseltme kırılganlığı azaltmaya yardımcı olur.
Nisan ayında, yeni güvenlik güncellemelerini yükledikten sonra, Windows kullanıcıları aniden boş bir C: \ inetpub klasörünün oluşturulduğunu buldu. Bu klasör Microsoft’un İnternet Bilgi Sunucusu ile ilişkili olduğundan, kullanıcılar web sunucusu yüklenmediğinde oluşturulduğunu kafa karıştırıcı buldular.
Bu, bazı kişilerin klasörü çıkarmasına neden oldu, bu da onları tekrar yamalı güvenlik açığı için savunmasız hale getirdi. Microsoft, onu kaldıran kullanıcıların Windows “Windows özelliklerini aç veya kapalı” kontrol panelinden Windows’dan İnternet bilgi hizmetlerini yükleyerek manuel olarak yeniden oluşturabileceğini söyledi.
IIS yüklendikten sonra, C: \ Drive’ın köküne, Dosyalar ve Nisan Windows Güvenlik Güncellemeleri tarafından oluşturulan dizinle aynı sistem sahipliği ile yeni bir InetPub klasörü eklenecektir. Ayrıca, II’leri kullanmıyorsanız, C: \ Inetpub klasörünü geride bırakarak kaldırmak için aynı Windows özellikleri kontrol panelini kullanarak kaldırabilirsiniz.
Çarşamba günü, CVE-2025-21204 Danışmanlığı için yeni bir güncellemede, şirket aynı zamanda yöneticilerin bu klasörü bir PowerShell kabuğundan aşağıdaki komutları kullanarak yeniden oluşturmasına yardımcı olan bir iyileştirme senaryosu paylaştı:
Install-Script -Name Set-InetpubFolderAcl
C:\Program` Files\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1Redmond’un açıkladığı gibi, komut dosyası yetkisiz erişimi ve CVE-2025-21204 ile ilgili potansiyel güvenlik açıklarını önlemek için doğru IIS izinlerini belirleyecektir.
Ayrıca, Şubat 2025 güvenlik güncellemeleri tarafından oluşturulması durumunda güvenli olduğundan emin olmak için Windows Server Systems’taki Cihaz Kealthattestation Dizini için Erişim Kontrol Listesi (ACL) girişlerini güncelleyecektir.
Microsoft: “Silmeyin.”
Bu InetPub klasörü (Nisan ayında IIS web sunucusu platformunun daha önce yüklenmediği sistemlerde bile otomatik olarak oluşturulan) tarafından hafifletilen güvenlik kusuru (CVE-2025-21204), Windows Update Stack’teki uygunsuz bir bağlantı çözünürlük sorunu neden olur.
Bu muhtemelen Windows Update’in, yerel saldırganların işletim sistemini istenmeyen dosyalara veya klasörlere erişmeye veya değiştirmeleri için kandırmasına izin verebilecek şekilde eşleştirilmemiş cihazlardaki sembolik bağlantıları izleyebileceği anlamına gelir.
Microsoft, başarılı sömürünün izinleri artırmasına ve NT Authority \ Sistem hesabı bağlamında dosya yönetimi işlemlerini manipüle etmesine veya gerçekleştirmesine izin verdiğini söylüyor.
Klasörün kaldırılması testlerimizde Windows’u kullanan sorunlara neden olmasa da, Microsoft BleepingComputer’a kasıtlı olarak oluşturulduğunu ve silinmemesi gerektiğini söyledi. Redmond, kullanıcıları boş %systemdrive %\ inetpub klasörünü silmemeleri konusunda uyarmak için CVE-2025-21204 güvenlik kusuru için güncellenmiş bir danışmanlıkta aynı uyarıyı yayınladı.
Şirket, “Bu klasör, İnternet Bilgi Hizmetleri’nin (IIS) hedef cihazda aktif olup olmadığına bakılmaksızın silinmemelidir. Bu davranış, korumayı artıran ve BT yöneticilerinden ve son kullanıcılardan herhangi bir işlem gerektirmeyen değişikliklerin bir parçasıdır.”
Siber güvenlik uzmanı Kevin Beaumont ayrıca, Admin olmayan kullanıcıların C: \ inetpub ve herhangi bir Windows dosyası arasında bir kavşak oluşturarak Windows güncellemelerinin yüklenmesini engellemek için bu klasörü kötüye kullanabileceğini gösterdi.
Manuel yama modası geçmiş. Yavaş, hataya eğilimli ve ölçeklenmesi zor.
Eski yöntemlerin neden yetersiz kaldığını görmek için 4 Haziran’da Kandji + Tines’e katılın. Modern ekiplerin otomasyonu nasıl daha hızlı yama, riski kesmek, uyumlu kalmak ve karmaşık komut dosyalarını atlamak için otomasyonu nasıl kullandığına dair gerçek dünya örneklerine bakın.