Tajemniczy folder w Windows to nowe zagrożenie. Microsoft znów się popisał

Kwietniowa aktualizacja zabezpieczeń, która miała załatać poważną lukę w systemie Windows, wprowadziła nową podatność — tym razem umożliwiającą dowolnemu użytkownikowi zablokowanie aktualizacji systemowych bez potrzeby posiadania uprawnień administratora.

Wszystko zaczęło się od ponownego pojawienia się na dyskach użytkowników folderu „inetpub” (typowo znajdującego się pod ścieżką C:/inetpub), znanego głównie z serwera IIS (Internet Information Services). W kwietniu 2025 roku Microsoft wprowadził go ponownie jako element zabezpieczenia przeciwko lukom typu CVE-2025-21204, które mogły umożliwiać podniesienie uprawnień w systemie Windows. Zamiast klasycznej łatki kodu, Microsoft zdecydował się na prewencyjne utworzenie pustego folderu, mając nadzieję w ten sposób zablokować możliwe ataki za pomocą dowiązań symbolicznych (symlinków).

Jednak taki sposób działania wzbudził zdziwienie wśród administratorów systemów IT. Brak dodatkowych zabezpieczeń wokół folderu oznaczał, że rozwiązanie było co najmniej prowizoryczne. Szybko stało się jasne, że nowy "środek zaradczy" sam w sobie może stać się źródłem kolejnych problemów.

Nowa luka wykryta przez badacza bezpieczeństwa

Kevin Beaumont, znany badacz cyberbezpieczeństwa, postanowił sprawdzić, czy wprowadzone zmiany mogą zostać wykorzystane w nieoczekiwany sposób. Eksperymentując z poleceniem mklink (używanym do tworzenia symbolicznych i twardych dowiązań w systemie Windows), odkrył, że wystarczy utworzyć tzw. połączenie katalogu (mklink /j), aby skierować folder inetpub na dowolny plik systemowy — na przykład Notatnik (c:/windows/system32/notepad.exe).

Efekt? Gdy system Windows Update próbował wchodzić w interakcję z folderem inetpub, trafiał na plik wykonywalny zamiast katalogu, co powodowało błąd i uniemożliwiało przeprowadzenie aktualizacji systemowych. Jak zauważył Beaumont, takie działanie skutecznie wyłączało mechanizmy aktualizacji bezpieczeństwa — a co gorsza, wszystko to było możliwe nawet bez uprawnień administratora.

„To oznacza, że praktycznie każdy standardowy użytkownik systemu może zablokować aktualizacje systemu Windows na swojej maszynie,” zauważył Beaumont.

Krytyka procesu testowania Microsoftu

Nowa luka wzbudziła spore kontrowersje w środowisku administratorów IT i specjalistów ds. bezpieczeństwa. Brak testów wykrywających podstawowe zagrożenia związane z symlinkami stawia pod znakiem zapytania proces testowania poprawek w Microsofcie. Jak podkreślają eksperci, od lat wiadomo, że dowiązania symboliczne stanowią jeden z klasycznych wektorów ataku i wymagają szczególnej ostrożności.

Obecna sytuacja zmusza teraz administratorów do dodatkowych działań: muszą ręcznie skanować systemy w poszukiwaniu potencjalnie złośliwych połączeń, które mogą blokować aktualizacje, dopóki Microsoft nie przygotuje kolejnej poprawki.

Microsoft milczy

Kevin Beaumont poinformował Microsoft o nowej luce, jednak do tej pory firma nie wydała oficjalnego komentarza w tej sprawie. Administratorzy systemów z niecierpliwością czekają na reakcję Redmond i na łatkę, która nie tylko usunie skutki uboczne poprzedniej, ale także skutecznie załata nowe zagrożenie.