Dubnové servisní aktualizace pro Windows 10 a 11 na systémových úložištích vytvořily téměř prázdnou složku inetpub. Microsoft až zpětně řekl, že jde o záměr. Složka je součástí ochrany proti manipulování se soubory (díra CVE-2025–21204). Její přesnou roli výrobce nepopsal, ale aspoň jsme věděli, že ji nemáme mazat.

Jenže sama vytváří nový bezpečnostní problém. Zjistil to bezpečnostní výzkumník Kevin Beaumont. Není to jeho první zářez. Loni třeba odhalil, že Recall nešifruje uložená data.



Jak jsme si už řekli, složku inetpub nechte být

Složka inetpub vytváří prostor pro útok typu odepření služby (Denial-of-service, krátce DoS). Jeho dopady mohou být závažné, protože odstaví aktualizační mechanismus Windows, čímž je nechá otevřené dalším desítkám až stovkám zranitelných míst, která Microsoft opravuje každý měsíc.

A co hůř, útok by měl být proveditelný i v obyčejných uživatelských účtech bez správcovských práv. Beaumont ukazuje, jak vytvořil spojovací bod, jenž propojil složku inetpub s Poznámkovým blokem:



Beaumont ukazuje, jak vytvořil propojení

To způsobí, že při přístupu ke složce jste přesměrováni do Poznámkového bloku. A teď se servisní aktualizace pro Windows odmítají nainstalovat. Původní oprava zabránila zneužití symbolických odkazů ve vztahu k souborům Windows Update Stack, což je komponenta pro instalaci systémových aktualizací. To je ono pojítko.

Beaumont problém nahlásil Microsoft Security Response Center zhruba dva týdny před zveřejněním svého reportu, ale redmondští mu zatím neodpověděli.



Po vytvoření symbolického odkazu se neinstalují aktualizace

Výše uvedený příkaz výzkumník zveřejnil na svém webu, ale působí to, že v něm udělal chybu. Přepínač /j propojuje složky, nikoli složku a soubor. Mohl by použít přepínač /h pro vytvořené pevného odkazu na soubor. Jím zveřejněný příkaz se mi na testovacím stroji použít nepodařilo.



Zveřejněný příkaz se mi použít nepodařilo

Beaumont je veterán s dobrou reputací, v tomto případě bude potřeba bílá místa dovysvětlit. Více informací se nejspíš dozvíme až po opravení díry. O složce inetpub jistě neslyšíme naposledy. Můžeme jen konstatovat, že popsaný útok vyžaduje přístup k počítači, což možnost napadení redukuje.