Microsoft ha publicado un
script de PowerShell para restaurar la carpeta «inetpub» vacía,
creada por las actualizaciones de seguridad de Windows de abril de 2025, si se
elimina. Como Microsoft advirtió previamente, esta carpeta ayuda a mitigar una
vulnerabilidad de escalamiento de privilegios de alta gravedad en la
Activación del Proceso de Windows (WPA).
En abril, tras instalar las nuevas actualizaciones de seguridad, los usuarios de Windows descubrieron repentinamente que se había creado una carpeta vacía,
C:\Inetpub. Dado que esta carpeta está asociada con Internet
Information Server de Microsoft, resultaba confuso que se creara cuando el
servidor web no estaba instalado.
Esto provocó que algunos usuarios eliminaran la carpeta,
lo que los volvió vulnerables a la vulnerabilidad corregida. Microsoft
indicó que los usuarios que la eliminaron pueden volver a crearla manualmente
instalando Internet Information Services desde el panel de control
«Activar o desactivar las características de Windows» de Windows.
Una vez instalado IIS, se agregará una nueva carpeta inetpub a la raíz
de la unidad C:\, con los mismos archivos y la misma propiedad SYSTEM que el
directorio creado por las actualizaciones de seguridad de Windows de abril.
Además, si no se usa IIS, puede desinstalarlo desde el mismo panel de control
de Características de Windows para eliminarlo, dejando la carpeta
C:\inetpub intacta.
El miércoles, en una nueva actualización del aviso
CVE-2025-21204, la compañía también compartió un script de corrección que ayuda a
los administradores a recrear esta carpeta desde un
PowerShell con los siguientes comandos:
Install-Script -Name Set-InetpubFolderAcl
\Set-InetpubFolderAcl.ps1
Como explica Redmond, el script establecerá los permisos correctos de
IIS para evitar el acceso no autorizado y las posibles vulnerabilidades
relacionadas con CVE-2025-21204.
También actualizará las entradas de la lista de control de acceso (ACL) del
directorio DeviceHealthAttestation en sistemas Windows Server para
garantizar su seguridad si se crea antes de las actualizaciones de seguridad
de febrero de 2025.
Microsoft: «No lo eliminen».
La falla de seguridad (CVE-2025-21204), mitigada por esta carpeta
inetpub (creada automáticamente por las actualizaciones de seguridad de
abril, incluso en sistemas sin la plataforma de servidor web IIS instalada
previamente), se debe a un problema de resolución de enlaces incorrectos en la
pila de Windows Update.
Esto probablemente significa que Windows Update podría seguir enlaces
simbólicos en dispositivos sin parches, lo que permite a atacantes locales
engañar al sistema operativo para que acceda o modifique archivos o carpetas
no deseados.
Microsoft afirma que una explotación exitosa permite a atacantes con
privilegios bajos escalar permisos y manipular o realizar operaciones de
administración de archivos en el contexto de la cuenta
NT AUTHORITY\SYSTEM.
Si bien la eliminación de la carpeta no causó problemas con Windows en
nuestras pruebas,
Microsoft indicó que se creó intencionalmente
y no debe eliminarse. Redmond emitió la misma advertencia en un aviso
actualizado sobre la falla de seguridad CVE-2025-21204 para advertir a los
usuarios que no eliminen la carpeta vacía %systemdrive%\inetpub.
«Esta carpeta no debe eliminarse, independientemente de si Internet
Information Services (IIS) está activo en el dispositivo de destino. Este
comportamiento forma parte de los cambios que aumentan la protección y no
requiere ninguna acción por parte de los administradores de TI ni de los
usuarios finales», advirtió la compañía.
El experto en ciberseguridad
Kevin Beaumont también demostró
que los usuarios sin derechos de administrador pueden abusar de esta carpeta
para bloquear la instalación de actualizaciones de Windows mediante la
creación de una unión entre C:\inetpub y cualquier archivo de Windows.
Fuente:
BC