Onderzoeker: Windows-update voor 'inetpub'-map veroorzaakt beveiligingsprobleem

De beveiligingsupdates die Microsoft tijdens de Patch Tuesday van april heeft uitgerold, zorgen mogelijk voor een nieuw beveiligingsprobleem. Als onderdeel van de updates wordt een nieuwe lege map aangemaakt genaamd 'inetpub'. Die map blijkt gemakkelijk te misbruiken te zijn.

Beveiligingsonderzoeker Kevin Beaumont ontdekte dat de inetpubmap weer voor een nieuwe kwetsbaarheid zorgt. Het gaat om een denial of service-kwetsbaarheid in de servicingstack van Windows, waardoor gebruikers zonder adminrechten alle toekomstige Windows-beveiligingsupdates kunnen tegenhouden. Aanvallers kunnen hier misbruik van maken door een symbolische link aan te maken tussen de inetpubmap en een applicatie zoals Kladblok. Daarvoor heeft een aanvaller alleen reguliere toegang tot een Windows-machine nodig.

Als de kwetsbaarheid misbruikt wordt, geven toekomstige beveiligingsupdates op Windows een foutmelding of worden ze teruggedraaid. Updates worden dus niet geïnstalleerd, wat betekent dat nieuw gevonden gaten niet worden gedicht. Cybercriminelen kunnen daar dan misbruik van blijven maken, ook al zijn er al wel patches voor uitgebracht.

Volgens Beaumont is er maar één mogelijkheid om het probleem te verhelpen: als Microsoft er een oplossing voor uitbrengt. De beveiligingsonderzoeker zegt dat hij het probleem twee weken geleden bij Microsoft heeft gemeld, maar nog geen reactie heeft ontvangen.

Bij de Patch Tuesday-updates van april werd ook een nieuwe, lege inetpub-map aangemaakt in de systemdrive. Volgens Microsoft is die cruciaal voor beveiligingsupdates. De map is onderdeel van een patch die een kwetsbaarheid in Windows Process Activation dicht, geregistreerd als CVE-2025-21204. De kwetsbaarheid kan malware of een aanvaller bestandsbeheerrechten op systeemniveau geven. Met de patch is dat probleem opgelost en daarbij wordt dus ook die map aangemaakt. "Deze map moet niet verwijderd worden", waarschuwt Microsoft in de FAQ van de kwetsbaarheid.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 24-04-2025 12:00
41 • submitter: TheVivaldi

24-04-2025 • 12:00

41

Submitter: TheVivaldi

Lees meer

Microsoft Windows 11 Pro

vanaf € 145,88

3.5 van 5 sterren

Alles over dit product

Microsoft Windows 11 Home

vanaf € 114,18

4.5 van 5 sterren

Alles over dit product

Microsoft repareert tijdens Patch Tuesday 107 bugs waaronder een zeroday
Microsoft repareert tijdens Patch Tuesday 107 bugs waaronder een zeroday Nieuws van 13 augustus 2025
Microsoft dicht twee zerodays tijdens Patch Tuesday
Microsoft dicht twee zerodays tijdens Patch Tuesday Nieuws van 11 juni 2025
Windows 7 startte door bug langzaam op als je een egale achtergrond had
Windows 7 startte door bug langzaam op als je een egale achtergrond had .Geek van 1 mei 2025
Microsoft verwacht dat AI-capaciteitsproblemen ook na juni voortduren
Microsoft verwacht dat AI-capaciteitsproblemen ook na juni voortduren Nieuws van 1 mei 2025
Microsoft Recall-functie is makkelijk te kraken en slaat creditcardgegevens op
Microsoft Recall-functie is makkelijk te kraken en slaat creditcardgegevens op Nieuws van 22 april 2025
Snipping Tool voor Windows 11 krijgt functie om tekst op je scherm te kopiëren
Snipping Tool voor Windows 11 krijgt functie om tekst op je scherm te kopiëren Nieuws van 17 april 2025
Microsoft waarschuwt voor crashende pc's na aprilupdate
Microsoft waarschuwt voor crashende pc's na aprilupdate Nieuws van 16 april 2025
Microsoft maakt omstreden Recall-functie beschikbaar voor testers
Microsoft maakt omstreden Recall-functie beschikbaar voor testers Nieuws van 11 april 2025
Microsoft dicht actief misbruikte zeroday in Windows
Microsoft dicht actief misbruikte zeroday in Windows Nieuws van 10 april 2025
Windows 11 lijkt nieuw Start-menu te krijgen zonder aanbevelingen - correctie
Windows 11 lijkt nieuw Start-menu te krijgen zonder aanbevelingen - correctie Nieuws van 8 april 2025
Nieuw Windows 11-startmenu maakt het mogelijk aanbevelingen te verwijderen
Nieuw Windows 11-startmenu maakt het mogelijk aanbevelingen te verwijderen Nieuws van 4 april 2025
Windows 11 is in Nederland voor het eerst groter dan Windows 10
Windows 11 is in Nederland voor het eerst groter dan Windows 10 Nieuws van 4 april 2025
Meer producten en artikelen
Besturingssystemen Beveiliging en antivirus Microsoft Windows Patches Patch Tuesday Security

Reacties (41)

-Moderatie-faq
41
40
23
2
0
13
Wijzig sortering

Sorteer op:

Weergave:
Mythx 24 april 2025 12:06
Meen ergens gelezen te hebben dat het verwijderen van de map tot problemen kan leiden. Normaal kunnen andere partijen niets in die map installeren, maar als de map verwijderd wordt door de gebruiker, dan kunnen andere partijen weer een nieuwe inetpub map aanmaken en deze misbruiken.
Muggie 24 april 2025 12:09
Mis ik iets of is het maf dat ze de IIS default folder hiervoor gebruiken?

Beetje vage omschrijving ook weer: This behavior is part of changes
Iemand betere informatie kunnen vinden welke changes dat precies zijn en waarom ze deze map daarvoor gebruiken?
lenwar
@Muggie24 april 2025 12:46
https://msrc.microsoft.co...nerability/CVE-2025-21204
This behavior is part of changes that increase protection and does not require any action from IT admins and end users.
Ze maken het inderdaad wel heel wollig.

Vooral de keuze van de map zelf is apart, want als je het zo leest, dan zie je eigenlijk geen reden waarom het perse "%systemdrive%\inetpub" (Want je primaire schijf kan in principe ook iets anders zijn dan C:\ al is dat niet gebruikelijk om te doen) moet zijn. Met die algemene beschrijving zou het in principe iedere willekeurige map kunnen zijn.

We gaan er vanzelf meer over horen.
PolarBear @lenwar24 april 2025 13:03
Vooral de keuze van de map zelf is apart, want als je het zo leest, dan zie je eigenlijk geen reden waarom het perse "%systemdrive%\inetpub" (Want je primaire schijf kan in principe ook iets anders zijn dan C:\ al is dat niet gebruikelijk om te doen) moet zijn.
Nou ik denk dat Inetpub misbruikt werd (en vaak niet aanwezig want IIS is standaard niet geinstalleerd). Dus uit die optiek is "%systemdrive%\inetpub" logisch (hoewel ik mij afvraag hoe het een deel van een fix is maar dat is een andere discussie).

Je opmerking over C:\ snap ik niet, %systemdrive% is je primaire drive.
lenwar
@PolarBear24 april 2025 13:25
En je 'primaire drive' kan ook D:\ of K:\ of Z:\ zijn. Het is 'vrijwel altijd' de standaard C:\ (ik zou niet weten hoe het moet, maar ik heb ooit bij een werkgever gewerkt, waar, op mijn desktop, mijn primaire drive P:\ was. (dus daar stond Windows/Program Files/Document and Settings, enz, enz, enz. Ik had geen C-schijf en geen andere partities enzo. Alleen een P-schrijf voor het OS en een D-schijf voor de DVD-speler.)

Maar goed:

Dan heb ik het allicht niet goed verwoord. MS geeft aan dat de aanwezigheid van die map, het gevolg is van wijzigingen dat de algemene bescherming vergroot. Deze opmerking vind ik zo algemeen, dat het in principe iedere willekeurige map had kunnen zijn, en niet per se de inetpub-map. Dus het lijkt erop dat er bijna wel iets anders achter moet zitten.
DnJealt @lenwar24 april 2025 13:59
%systemdrive% is dan ook een alias voor 'daar waar Windows geïnstalleerd staat'.
En niet een alias voor C:\.

Daarom lijkt het me dat @PolarBear je opmerking niet begrijpt.

[Reactie gewijzigd door DnJealt op 24 april 2025 13:59]

PolarBear @DnJealt24 april 2025 15:24
Exact
Callewaert @Muggie24 april 2025 12:33
Dit vind ik ook wel heel raar - waarom komt die IIS default folder plots op een client? Normaal komt die toch enkel mee als je in een domein zit die IIS aanbied?
Chris_147 @Callewaert24 april 2025 12:38
Had ergens gelezen dat zij nu de folder aanmaken en er admin rechten (of eigenaar) op zetten waardoor aanvallers zelf deze folder niet kunnen aanmaken met hun rechten.
SinergyX
@Muggie24 april 2025 12:25
Denk dat ze ergens wel cryptisch moeten zijn, om zo geen specifieke details van de kwetsbaarheid op tafel te leggen. Ergens denk ik dat dit een failsafe is voor applicaties die actief iets in de IIS wilde misbruiken (icm met die map) en dat nu pogingen tot toegang van deze map automatisch blokkade triggeren.
PolarBear @Muggie24 april 2025 12:46
Ik denk dat ze de Inetpub folder aanmaken met de standaard rechten om misbruik te voorkomen in de gevallen (en dat zijn er veel, want IIS is by default niet geinstalleerd) waar Inetpub niet bestaat. Ik denk dat in dat geval het aanmaken van een Inetpub folder door een kwaadwillende direct of indirect een vunerability exposed (de symlink escalation of privilege flaw die gepatched is). Ik kan mij niet voorstellen dat het aanmaken van de folder ansich de hele oplossing is. Maar goed het blijft een beetje vaag.
fevenhuis @PolarBear24 april 2025 18:02
Het lijkt mij duidelijk dat het probleem niet voor de gebruikers zonder IIS installatie is waar de map wordt aangemaakt.

Maar voor alle systemen waar IIS wel geinstalleerd staat en en waarover de (misvormde?) update nieuwe (tijdelijke?) rechten over probeert te verkrijgen.

En waarom niet gewoon %Temp% ?
PolarBear 24 april 2025 12:51
Het zorgt er voor dat volgene updates niet geinstalleerd worden, maar goed dat is wel met een failure dus het is wel duidelijk dat er iets mis is.

Wat ik wel gek vind is dat al ik kijk op mijn PC gewone users geen schrijfrechten hebben in de Inetpub folder. Ik kan in ieder geval niet als niet admin het onderstaande command uitvoeren:
mklink /j c:\inetpub c:\windows\system32\notepad.exe
c:\>mklink /j c:\inetpub c:\windows\system32\notepad.exe
Cannot create a file when that file already exists.
watercoolertje @PolarBear24 april 2025 13:02
En als je die folder eerst verwijderd als user? (als dat kan, kan je daarna een symlink maken met jouw commands)

Een admin zou precies dezelfde melding krijgen als de map/file reeds bestaat.

[Reactie gewijzigd door watercoolertje op 24 april 2025 13:04]

PolarBear @watercoolertje24 april 2025 13:06
Goed punt, maar de ontdekker schrijft letterlijk dit:
How

Non-admin (and admin) users can create junction points in c:\


So a non-admin user can just do Windows+R, cmd, and then run:

mklink /j c:\inetpub c:\windows\system32\notepad.exe

This creates a symlink between c:\inetpub and notepad. After that point, April 2025 Windows OS update (and future updates, unless Microsoft fix it) fail to ever install — they error out and/or roll back. So you just go without security updates.
En ook dat laatste stukje is niet helemaal waar, je gaat niet zomaar zonder update, je gaat verder zonder updates met een foutmelding.

Al met al vanuit Microsoft een vage fix maar ook de vunerability is niet 100% uitgewerkt.
watercoolertje @PolarBear24 april 2025 13:20
Goed punt, maar de ontdekker schrijft letterlijk dit:
Dat klopt toch? Gezien de April-update (volgens de ontdekker) daarna faalt heeft ie die april-update dus nog niet, dus die folder bestaat bij hem nog niet en dan werkt het commando wel.

Jij hebt de April update waarschijnlijk wel en dus die folder ook en dan werkt het commando dus niet.

[Reactie gewijzigd door watercoolertje op 24 april 2025 13:27]

PolarBear @watercoolertje24 april 2025 15:23
Ah ja je hebt gelijk. Maar goed ik vind het nog steeds meer een bug in de update dan een echte vulnerability.
mocean 24 april 2025 12:34
Het ziet eruit als een hele slechte fix, ineens een 'inetpub' directory aanmaken die je niet mag verwijderen. Als je de changelogs niet leest zou je kunnen denken dat er een IIS component is geïnstalleerd o.i.d.
zalazar 24 april 2025 12:40
Dat Microsoft uberhaupt dacht dat het een oplossing was om die C:\inetpub aan te maken en niet al te veel informatie te geven waarom precies is al zorgwekkend.
Sandor_Clegane 24 april 2025 12:43
Lol, dit deed je om meuk niet te installeren wat veelal van MS zelf kwam: folder aanmaken, alle rechten eraf en klaar. Nu doen ze het zelf.
joeri1 24 april 2025 12:45
Als ik het goed begrijp heeft MS het probleem maar gedeeltelijk opgelost. De folder inetpub wordt automatisch aangemaakt waardoor een aanvaller dit niet meer kan doen. Echter kan een non-admin nog altijd een symlink aanmaken tussen de folder inetpub en een programma als notepad.exe. Het voelt alsof MS niet begrijp hoe hun eigen OS werkt.
Cyberpuppy @joeri124 april 2025 17:28
Die link kun je niet maken als de naam al bestaat.
maali 24 april 2025 12:51
haha, ja, lekker dan. ik had hem gezien en al weggetiefd want ik dacht dat 't aangemaakt was door IIS of ASP.NET packages na een Visual Studio/SDK update waarschijnlijk dezelfde dag :)
Simon Weel 24 april 2025 13:45
Meer info: https://cyberdom.blog/abu...em-access-cve-2025-21204/
delphium 24 april 2025 14:40
Dit is wel de meest onprofessionele workaround voor een toch wel serieus beveiligingsprobleem, die ik in jaren heb gezien. Het is niet bepaald bevorderlijk voor mijn vertrouwen, dat Microsoft in controle is over de beveiliging van hun systeem.

Klaarblijkelijk hebben ze zelf geen idee hoe hun systeem in elkaar zit en hebben ze niet de mensen in huis om een echte oplossing voor het oorspronkelijke probleem te bedenken.

Ik weet nog dat we vroeger (1996) online bestanden beveiligden, door ze in een map met een moeilijke naam te zetten (dat raden ze nooit!). Een beetje van dat niveau.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq