CheckBlackList

Patch Windows crea inetpub ma apre nuova falla? Aggiornamenti a rischio

Patch Windows crea inetpub ma apre nuova falla? Aggiornamenti a rischio

Per chi ha fretta

L’aggiornamento di sicurezza di Windows di aprile 2025 ha introdotto una cartella C:\inetpub su tutti i sistemi per correggere la vulnerabilità CVE-2025-21204 (legata a symlink ed elevazione privilegi). Microsoft ha confermato che la cartella è voluta e non va cancellata, pena rischi per la sicurezza. Tuttavia, il ricercatore Kevin Beaumont ha scoperto che questa stessa cartella può essere sfruttata: anche un utente non amministratore può creare un “junction point” verso C:\inetpub, impedendo così l’installazione di futuri aggiornamenti di Windows (che falliranno e verranno annullati). Questo crea un nuovo problema di sicurezza, bloccando le patch future. Al momento, Microsoft non ha ancora risposto ufficialmente a questa nuova vulnerabilità introdotta dalla sua stessa correzione.

Windows e la misteriosa cartella ‘inetpub’: la toppa di sicurezza apre una nuova falla?

Gli aggiornamenti di Windows di aprile 2025 hanno portato con sé una sorpresa per molti utenti: la comparsa di una cartella apparentemente vuota chiamata C:\inetpub nella directory principale del sistema (ne abbiamo parlato qui). Nata come parte della soluzione a una vulnerabilità di sicurezza, questa cartella sta ora sollevando nuove preoccupazioni, poiché sembra poter essere utilizzata per bloccare futuri aggiornamenti critici del sistema operativo.

La Correzione Iniziale: CVE-2025-21204

Tutto nasce con la necessità di correggere la vulnerabilità CVE-2025-21204. Questo difetto di sicurezza nel Windows Update Stack permetteva a un utente malintenzionato locale di sfruttare collegamenti simbolici (symlink) per ottenere privilegi elevati, potenzialmente accedendo o modificando file di sistema protetti. Per mitigare questo rischio, Microsoft, con gli aggiornamenti cumulativi di aprile 2025 (come KB5055527, KB5055523, KB5055518 e altri), ha implementato una misura preventiva: la creazione automatica della cartella C:\inetpub su tutti i sistemi, indipendentemente dal fatto che i servizi IIS (Internet Information Services), normalmente associati a questa cartella, fossero attivi.

Inizialmente, la mancanza di documentazione chiara ha generato confusione, portando molti utenti a chiedersi se fosse un errore o un residuo dell’aggiornamento, e alcuni l’hanno cancellata. Microsoft ha successivamente aggiornato i propri avvisi, confermando che la creazione della cartella inetpub è intenzionale e fa parte delle modifiche per aumentare la protezione. L’azienda ha esplicitamente avvertito gli utenti di non eliminare questa cartella, anche se vuota, per non compromettere la mitigazione della vulnerabilità originale.

La Nuova Vulnerabilità: “La Toppa Peggiore del Buco?”

Tuttavia, la soluzione adottata da Microsoft sembra aver introdotto un nuovo problema, come evidenziato dal ricercatore di sicurezza Kevin Beaumont. Beaumont ha scoperto e dimostrato che la gestione di questa cartella inetpub può essere manipolata per creare una vulnerabilità di tipo Denial of Service (DoS) nello stack di aggiornamento di Windows.

La tecnica è allarmante per la sua semplicità:

  1. Un utente, anche senza privilegi di amministratore, può aprire un Prompt dei comandi.
  2. Utilizzando il comando mklink /j c:\inetpub c:\windows\system32\notepad.exe (o puntando a un altro file esistente), crea un “junction point” (un tipo speciale di collegamento simbolico per cartelle) che occupa il percorso C:\inetpub.
  3. Una volta creato questo collegamento, il processo di Windows Update non è più in grado di accedere o creare correttamente la vera cartella C:\inetpub come previsto dalla patch.

Il risultato è che l’installazione degli aggiornamenti cumulativi successivi fallisce. Il sistema tenta di installare l’update, incontra un errore (spesso un codice generico come 0x80070643, anche se non sempre legato a questo specifico problema) e poi annulla le modifiche (rollback), lasciando il PC senza le ultime correzioni di sicurezza. Questo meccanismo può, di fatto, bloccare permanentemente la ricezione di future patch di sicurezza, esponendo il sistema a tutte le vulnerabilità che verranno scoperte e corrette da Microsoft in seguito.

Beaumont ha segnalato questa nuova vulnerabilità al Microsoft Security Response Center (MSRC) diverse settimane fa, ma al momento della stesura di questo articolo, non risulta ancora una risposta ufficiale o una correzione da parte di Microsoft.

Implicazioni e Conclusioni Provvisorie

La situazione è paradossale: una misura introdotta per tappare una falla ne apre potenzialmente un’altra, forse anche più grave nel lungo termine, poiché impedisce la correzione di future vulnerabilità. Questo incidente solleva interrogativi sull’approccio di Microsoft alla mitigazione delle vulnerabilità e sulla comunicazione con gli utenti riguardo a modifiche del sistema operativo, anche quelle apparentemente minori come la creazione di una cartella.

Resta da vedere come e quando Microsoft affronterà questo nuovo problema. Nel frattempo, gli utenti sono avvisati: non cancellate la cartella C:\inetpub. Se l’avete già fatto, Microsoft suggerisce di ricrearla installando e poi disinstallando un componente IIS tramite “Attiva o disattiva funzionalità di Windows” per ripristinare la cartella con le corrette autorizzazioni. Per quanto riguarda la nuova vulnerabilità scoperta da Beaumont, non ci sono al momento soluzioni ufficiali se non attendere un intervento correttivo da parte di Microsoft.

Claudio R Cerroni

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *