Bir ‘inetpub’ klasörü oluşturan yeni bir Windows güvenlik güncellemesi, saldırganların gelecekteki güncellemelerin kurulmasını önlemesine izin veren yeni bir zayıflık getirdi.
Kullanıcılar bu ayki Microsoft Patch Salı güvenlik güncellemelerini yükledikten sonra, Windows kullanıcıları aniden sistem sürücüsünün kökünde oluşturulan sistem hesabına ait bir “inetpub” klasörü, normalde C: Drive’ı buldular.
Bu cihazlara yüklenmemiş Microsoft’un İnternet Bilgi Hizmeti Web sunucusuyla ilişkili dosyaları tutmak için kullanıldığı için oluşturulan bu klasörü görmek garipti.
Güvenlik danışmanlığına ilişkin bir güncellemede, Microsoft daha sonra C: \ inetpub klasörünün, CVE-2025-21204 olarak izlenen ayrıcalık güvenlik açığının bir Windows işlem etkinleştirme yükselmesi için bir düzeltmenin bir parçası olduğunu doğruladı ve şirket klasörü silmemesi konusunda uyardı.
Microsoft, “İşletim sisteminiz için Güvenlik Güncellemeleri tablosunda listelenen güncellemeleri yükledikten sonra, cihazınızda yeni bir %SystemDrive %\ inetpub klasörü oluşturulacak.”
“Bu klasör, İnternet Bilgi Hizmetleri’nin (IIS) hedef cihazda etkin olup olmadığına bakılmaksızın silinmemelidir. Bu davranış, korumayı artıran ve BT yöneticilerinden ve son kullanıcılardan herhangi bir işlem gerektirmeyen değişikliklerin bir parçasıdır.”
Bununla birlikte, siber güvenlik uzmanı Kevin Beaumont, bu klasörün belirli bir şekilde oluşturulması halinde daha fazla Windows güncellemelerinin yüklenmesini önlemek için istismar edilebileceğini göstermiştir.
Kevin Beaumont, “Bu düzeltmenin, Windows servis yığınında, Administ olmayan kullanıcıların gelecekteki tüm Windows güvenlik güncellemelerini durdurmasına izin veren bir hizmet reddi güvenlik açığı getirdiğini keşfettim.”
Yeni bir raporda Beaumont, Windows kullanıcılarının, yönetici ayrıcalıkları olmayanlar bile, C: \ inetpub ile C: \ Windows \ System32 \ Notepad.exe gibi bir Windows dosyası arasında bir kavşak oluşturabileceğini söylüyor.
mklink /j c:\inetpub c:\windows\system32\notepad.exeWindows Kavşağı, aynı veya başka bir sürücüye başka bir klasöre erişimi yönlendiren özel bir klasör türüdür, bu da içeriğin her iki konumda varmış gibi görünmesini sağlar.
Bu kavşağın neden güncellemenin yüklenmesini engellediği sorulduğunda, Beaumont bunun olduğuna inandığını söylüyor çünkü güncellemenin bir dosya yerine bir klasör beklediğinden.
Beaumont, Beaumont, “Temelde herhangi bir dosya ile çalışıyor, sanırım hizmet yığını C: \ inetpub’ın bir dizin olmasını bekliyor – ancak MKLink bir dosyaya kavşak yapmanıza izin veriyor.”
Microsoft’un belgelerine göre, kavşakların dosyalar arasında değil klasörler arasında bağlantı olması anlamına gelir. Ancak, makalede daha erken görüntüden görebileceğiniz gibi, aşağıdaki resimde gösterildiği gibi bir tane oluşturmak hala mümkündür.
Kaynak: BleepingComputer
Bu kavşak oluşturulduğunda, Nisan güvenlik güncellemesini yüklemeye çalışırsanız, 0x800F081F hata kodu vererek doğru yüklenmez. Bu kod, “CBS_E_SOURCE_MISSING” hatasıyla ilgilidir, yani bir paket veya dosya bulunamıyor.
Kaynak: BleepingComputer:
Beaumont, hatayı “orta” bir önem sınıflandırması atanan Microsoft’a bildirdiğini ve davasını kapatarak gelecekte düzeltmeyi düşüneceklerini belirttiğini söyledi.
Microsoft, “Dikkatli bir soruşturmadan sonra, bu dava şu anda ılımlı bir ciddiyet sorunu olarak derecelendirildi.”
“Güncelleme yalnızca ‘inetpub’ klasörü bir dosyaya kavşak ise ve inetpub SymLink ve yeniden denemeyi silmeyi başarıyorsa, güncelleme uygulanamadığı için MSRCS mevcut çubuğunu hemen servis için karşılamıyor.”
BleepingComputer, Çarşamba günü bu hata hakkında Microsoft ile de temasa geçti, ancak henüz bir yanıt almadı.