'Mysteriöser' Windows-Ordner entpuppt sich als großes Sicherheitsrisiko

Nach dem April-Update erschien ein mysteriöser "inetpub"-Ordner unter Windows. Microsoft erklärte, der sei Teil eines Sicherheitsfixes. Ironischerweise schafft genau dieser Fix wohl eine neue Lücke, die das Blockieren aller künftigen Windows-Updates ermöglicht.

Microsofts Sicherheitsfix bietet neue Angriffsfläche

Der mysteriöse "inetpub"-Ordner, der nach dem April-Patchday plötzlich auf Windows-10- und Windows-11-Systemen auftauchte, sorgte zunächst für Verwirrung unter Nutzern. Microsoft beruhigte schnell und erklärte, der Ordner sei Teil eines Sicherheitsupdates für die Schwachstelle CVE-2025-21204. Nutzer sollten ihn auf keinen Fall löschen. Doch nun zeigt sich, dass die vermeintliche Sicherheitsverbesserung selbst eine gefährliche Lücke schafft.

Symlink-Manipulation ermöglicht Update-Blockade

Der Sicherheitsexperte Kevin Beaumont erklärt jetzt in seinem Blog Double Pulsar (via Golem), wie genau dieser Fix eine neue Schwachstelle einführt. So können Angreifer mit einfachen Benutzerrechten durch eine simple Symlink-Manipulation verhindern, dass Windows-Updates installiert werden können.


Die Methode ist erschreckend simpel: Über den Windows-Befehl mklink /j c:inetpub c:windowssystem32notepad.exe lässt sich eine Verknüpfung (Junction) erstellen, die den Pfad c:inetpub mit einem anderen Element verbindet. In Beaumonts Beispiel wurde eine Verknüpfung zum Windows-Notepad erstellt. Sobald diese Manipulation vorgenommen wurde, schlägt die Installation des April-Sicherheitsupdates fehl.

Langfristige Sicherheitsrisiken

Besonders problematisch ist, dass für diese Manipulation keine Administrator-Rechte erforderlich sind. Ein normaler Benutzer kann so die Sicherheit des gesamten Systems kompromittieren. Ohne Sicherheitsupdates bleiben Schwachstellen ungepatcht, was die Angriffsfläche für schwerwiegendere Exploits vergrößert.

Die tatsächliche Gefahr dieser Lücke ist schwer einzuschätzen. Allerdings könnten die Folgen erheblich sein, da ein einmal manipuliertes System möglicherweise keine weiteren Updates mehr installieren kann, es sei denn, Microsoft ändert die Implementierung des Sicherheitspatches.

Hintergrund zur inetpub-Problematik

Der inetpub-Ordner hat eine lange Geschichte in Windows-Systemen. Ursprünglich wurde er mit den Internet Information Services (IIS) eingeführt, die erstmals mit Windows NT 4.0 im Jahr 1996 erschien. Der Ordner dient traditionell als Standardspeicherort für Webseiten und Webanwendungen, die über den IIS-Webserver bereitgestellt werden.

Der inetpub-Ordner erscheint normalerweise daher nur auf Systemen, auf denen IIS genutzt werden. Mit dem April-Update wurde er jedoch auf allen Windows-Systemen angelegt - auch dort, wo keine IIS aktiviert sind. Wie bereits erwähnt, begründete Microsoft dies mit einem verbesserten "Schutz" gegen die Ausnutzung einer Sicherheitslücke.

Die plötzliche Einführung dieses Ordners auf allen Windows-Systemen stellt eine ungewöhnliche Änderung in Microsofts Sicherheitsstrategie dar. Normalerweise werden solche strukturellen Änderungen ausführlich dokumentiert und begründet. Im aktuellen Fall bleibt jedoch unklar, wie genau ein leerer Ordner zur Behebung einer Sicherheitslücke beitragen soll.

Reaktion steht noch aus

Beaumont hat die von ihm neu entdeckte Sicherheitsproblematik nach eigenen Angaben bereits vor etwa zwei Wochen an Microsoft gemeldet, bisher jedoch keine Antwort erhalten. Ob und wann Redmond einen Fix für die beschriebene Sicherheitslücke bereitstellt, steht also noch in den Sternen. Klar ist aber, dass man mit der Verursachung dieses Problems nicht gerade das Vertrauen der Windows-Nutzer in die Betriebssystem-Updates stärkt.

Was haltet ihr von dieser Situation? Habt ihr den mysteriösen inetpub-Ordner auf eurem System bemerkt? Teilt eure Erfahrungen und Gedanken zu Microsofts Patch-Management in den Kommentaren!




Siehe auch: