Une récente mise à jour de sécurité Windows qui crée un dossier « inetpub » a introduit une nouvelle faiblesse permettant aux attaquants d’empêcher l’installation de futures mises à jour.
Après l’installation des mises à jour de sécurité Microsoft Patch Tuesday de ce mois-ci, les utilisateurs de Windows ont soudainement trouvé un dossier « inetpub » appartenant au compte SYSTÈME créé à la racine du lecteur système, normalement le lecteur C:.
Il était étrange de voir ce dossier créé car il est normalement utilisé pour contenir des fichiers associés au serveur Web Internet Information Service de Microsoft, qui n’était pas installé sur ces appareils.
Dans une mise à jour d’un avis de sécurité, Microsoft a confirmé plus tard que le C:\inetpub le dossier faisait partie d’un correctif pour une vulnérabilité d’élévation de privilèges d’activation de processus Windows identifiée comme CVE-2025-21204, l’entreprise avertissant de ne pas supprimer le dossier.
« Après avoir installé les mises à jour répertoriées dans le tableau des mises à jour de sécurité pour votre système d’exploitation, un nouveau dossier %systemdrive%\inetpub sera créé sur votre appareil », a confirmé Microsoft.
« Ce dossier ne doit pas être supprimé, que les services Internet (IIS) soient actifs ou non sur la machine cible. Ce comportement fait partie des modifications qui augmentent la protection et ne nécessite aucune action de la part des administrateurs informatiques et des utilisateurs finaux. »
Cependant, l’expert en cybersécurité Kevin Beaumont a démontré que ce dossier peut être utilisé de manière abusive pour empêcher l’installation d’autres mises à jour Windows s’il est créé d’une certaine manière.
« J’ai découvert que ce correctif introduit une vulnérabilité de déni de service dans la pile de maintenance Windows qui permet aux utilisateurs non administrateurs d’arrêter toutes les futures mises à jour de sécurité Windows », Kevin Beaumont.
Dans un nouveau rapport, Beaumont indique que les utilisateurs de Windows, même ceux qui n’ont pas de privilèges administratifs, peuvent créer une jonction entre C:\inetpub et un fichier Windows, comme C:\windows\system32\notepad.exe en utilisant la commande suivante.
mklink /j c:\inetpub c:\windows\system32\notepad.exeUne jonction Windows est un type spécial de dossier qui redirige l’accès vers un autre dossier sur le même lecteur ou un autre lecteur, ce qui donne l’impression que le contenu existe aux deux emplacements.
Lorsqu’on lui demande pourquoi cette jonction empêche l’installation de la mise à jour, Beaumont dit qu’il pense que c’est parce que la mise à jour attend un dossier plutôt qu’un fichier.
« Cela fonctionne avec pratiquement n’importe quel fichier, je pense que c’est parce que la pile de maintenance attend c:\inetpub pour être un répertoire-mais mklink vous permet de faire une jonction avec un fichier », a déclaré Beaumont à Breachtrace .
Selon la documentation de Microsoft, les jonctions sont censées être des liens entre des dossiers plutôt qu’entre des fichiers. Cependant, comme vous pouvez le voir sur l’image ci-dessus dans l’article, il est toujours possible d’en créer un comme indiqué dans l’image ci-dessous.
Une fois cette jonction créée, si vous tentez d’installer la mise à jour de sécurité d’avril, elle ne s’installera pas correctement, ce qui donnera un code d’erreur 0x800F081F. Ce code est lié à l’erreur « CBS_E_SOURCE_MISSING », ce qui signifie qu’un package ou un fichier n’a pas été trouvé.
Beaumont dit qu’il a signalé le bogue à Microsoft, qui lui a attribué une classification de gravité « moyenne » et a clôturé son dossier, déclarant qu’ils envisageraient de le corriger à l’avenir.
« Après une enquête minutieuse, ce cas est actuellement considéré comme un problème de gravité modérée », a envoyé Microsoft à Beaumont.
« Il ne répond pas à la barre actuelle MSRCs pour une maintenance immédiate car la mise à jour ne s’applique que si le dossier ‘inetpub’ est une jonction avec un fichier et réussit à supprimer le lien symbolique inetpub et à réessayer. »
Breachtrace a également contacté Microsoft à propos de ce bogue mercredi mais n’a pas encore reçu de réponse.