MicrosoftがWindowsの2025年4月のセキュリティアップデートをリリースしたとき、世界中のユーザーがMicrosoftの更新がINETPUBと呼ばれるメインドライブに空のフォルダーが作成されたことに気付き始めました。
これは混乱をもたらしました。マイクロソフトは最初はフォルダーの存在について緊密に悩まされていたためです。公式リリースノートには、それに関する情報は含まれていませんでした。その後まもなく、Microsoftは、「保護を増やす」ために意図的にフォルダーを作成したことを明らかにしました。ユーザーと管理者は、フォルダーをいじるのではなく、フォルダーを保持するよう奨励されました。
背景情報:Microsoftは、CVE-2025–21204への直接的な応答としてフォルダーを作成しました。これにより、攻撃者はSymlinksを使用して特権を高めることができます。
フォルダーの作成は、邪悪な目的のためにサイバー犯罪者によって非常によく使用される可能性があることが判明しました。
セキュリティ研究者のケビン・ボーモントは、この問題に関する情報を共有しました媒体について。 Beaumontは、Microsoftの修正が「Windows Servicing Stackにサービス拒否の脆弱性を導入した」ことを発見しました。
詳細:
- 通常のユーザーは、すべてのWindowsセキュリティの更新を停止するために問題を悪用する場合があります。
- 問題を悪用するために、通常の(標準のない)プロンプトから単一のコマンドが必要です。
必要なのは、Inetpubフォルダーとメモパッドのようなアプリケーションとの間に新しいシンボリックリンクを作成することです。シンボリックリンクには標高は必要ありません。つまり、攻撃者は、将来のセキュリティアップデートをブロックするために、システムへのアクセスの昇格を獲得する必要はありません。
注記:WebサイトでBeaumontから提供されたコマンドは、Mklink /Jがファイルではなくディレクトリにリンクするジャンクションリンクを作成するために使用されるため、間違っているように見えます。何かが足りない限り、シンボリックリンクを作成するために /jを廃止するか、 /hのどちらかがハードリンクを作成する必要があります。それがWindowsの更新をブロックするかどうかは不明です。
実行すると、Windowsセキュリティの更新は、Beaumontに従ってターゲットマシンにインストールされなくなります。彼らはエラーを投げてロールバックします。サイバー犯罪者は、ハックを使用して、将来のセキュリティ更新インストールを防ぐことができます。これにより、システムを攻撃するために使用するセキュリティの問題が修正される場合があります。
お勧めの読み取り:修正:組織のセキュリティポリシーが認識されていないゲストアクセスをブロックするため、この共有フォルダーにアクセスできません
Beaumontは、この問題を解決する唯一の方法は、Microsoftがそれを修正することだと言います。彼はこの問題をMicrosoftに報告したが、Microsoftがまだ応答していないと主張している。
この脆弱性を悪用するためには、サイバー犯罪者がWindowsマシンに定期的にアクセスできるようにする必要があります。 Windowsを保護するためのすべての一般的な方法は、これが起こるのを防ぐために適用されます。これには、Windowsが最新であることを確認したり、疑わしいソースからソフトウェアをインストールしたり、他の人がシステムへのリモート接続を確立できるようにします。
今あなた:これについてどう思いますか?これらの未発表の変更をWindowsに行うことに関しては、Microsoftが透明である必要があると思いますか?以下にコメントを残してください。