Ein Microsoft-Update zum Schließen einer Sicherheitslücke legt
den Ordner "inetpub" an. Und schafft ein neues Sicherheitsleck.
Microsofts Entwickler haben erneut Pech mit
Windows-Updates. Ein Patch, der eine Sicherheitslücke in
Windows-Betriebssystemen schließt, mit der Angreifer ihre Rechte im
System ausweiten können, erstellt im Systemlaufwerk den Ordner
"inetpub". Ein renommierter IT-Experte hat herausgefunden,
dass das jedoch eine neue Schwachstelle im System öffnet.
Der IT-Security-Experte hat seine Erkenntnisse in einen Blog-Beitrag gegossen. Der Microsoft-Patch zum Schließen einer Sicherheitslücke
mit dem CVE-Eintrag CVE2025-2104 wurde zum April-Patchday
veröffentlicht. Das Problem, das das Update löst, betrifft eine falsche
Auflösung von Verknüpfungen ("link following"). Mit solchen
Verknüpfungen lässt sich nun jedoch Schindluder treiben.
Verknüpfung legt Windows Update lahm
Windows
kennt seit Windows 2000 sogenannten "Junctions" als Verknüpfungen.
Dabei dient ein Verzeichnis als Alias für ein anderes. So kann etwa das
Verzeichnis "D:\Win" auf "C:\Winnt\System32" verweisen, und ein Zugriff
auf "D:\Win\Drivers" landet tatsächlich in "C:\Winnt\System32\Drivers". Unser Experte weist darauf hin, dass sogar Nicht-Admins derartige Junctions
im Systemlaufwerk C: anlegen dürfen.
Mit dem Aufruf des Befehls
mklink /j c:\inetpub c:\windows\system32\notepad.exe
legt er eine solche Verknüpfung der "notepad.exe" auf das Verzeichnis
"inetpub" an. Sofern er diese Verknüpfung angelegt hat, schlägt die
Installation der Windows-Updates aus dem April fehl. Das geht laut unserer Kenntnis auch künftigen Updates so, sofern Microsoft das Problem nicht
zuvor löst. Die Installation schlägt fehl und löst gegebenenfalls ein
Rollback aus. Am Ende stehen Betroffene ohne Sicherheitsupdates da.
Dieses Verhalten könnten bösartige Akteure missbrauchen. Wir hatten Microsoft diesbezüglich den eigenen Angaben nach vor zwei Wochen
kontaktiert, jedoch keine Rückmeldung erhalten.Vergangene Woche
fiel der oftmals neu auftauchende Ordner "C:\inetpub" auf
Windows-Systemen auf, auf denen zuvor kein Microsoft-Webserver (Internet
Information Server, IIS) aktiv war. Microsoft schrieb dazu: "Dieser
Ordner sollte nicht gelöscht werden, unabhängig davon, ob
Internetinformationsdienste (IIS) auf dem Zielgerät aktiviert ist.
Dieses Verhalten ist Teil von Änderungen, die den Schutz erhöhen, und
erfordert keine Aktion von IT-Administratoren und Endbenutzern."
Keine Kommentare:
Kommentar veröffentlichen
Hinweis: Nur ein Mitglied dieses Blogs kann Kommentare posten.