微软“inetpub”文件夹漏洞:非管理员用户可永久阻止 Windows 更新

近日,安全研究员 Kevin Beaumont 发现了一个令人担忧的安全问题,涉及微软最近修复的符号链接提权漏洞(CVE-2025-21204)。尽管微软在 2025 年 4 月的“补丁星期二”更新中解决了该漏洞,但修复措施却意外引入了一个新的安全隐患。通过利用新创建的 c:\inetpub 文件夹,非管理员用户可以永久阻止 Windows 更新。

背景:CVE-2025-21204 漏洞及其修复

什么是符号链接?

符号链接(Symbolic Link)是一种文件系统对象,它充当指向其他文件或目录的指针。与硬链接不同,符号链接不需要提升权限即可创建,因此容易被恶意行为者滥用。

CVE-2025-21204 的核心问题

今年早些时候,研究人员发现攻击者可以通过符号链接提权,利用 Windows 服务堆栈和 c:\inetpub 文件夹来获取管理员权限。为了修复这一问题,微软在 2025 年 4 月的更新中采取了预防性措施——在所有 Windows 系统上预先创建了 c:\inetpub 文件夹,以防止恶意符号链接的生成。

然而,这种修复方式却意外地带来了新的问题。

新问题:非管理员用户可阻止 Windows 更新

Kevin Beaumont 发现,虽然 c:\inetpub 文件夹的预创建初衷是为了防止符号链接攻击,但它却为另一种攻击打开了大门。通过简单的命令,非管理员用户可以利用该文件夹永久阻止 Windows 更新。

具体操作步骤

1、按下 Windows + R 打开运行窗口。

2、输入 cmd 并按回车键,打开命令提示符。

3、 运行以下命令:

mklink /j c:\inetpub c:\windows\system32\notepad.exe

该命令会在 c:\inetpub 和 notepad.exe 之间创建一个符号链接。

后果

一旦执行上述命令,未来的 Windows 更新(包括 2025 年 4 月及之后的所有更新)将无法正常安装。更新过程会报错或回滚,导致用户无法接收关键的安全补丁。

为什么会出现这个问题?

微软试图通过预先创建 c:\inetpub 文件夹来防止符号链接提权攻击,但由于该文件夹的权限设置存在问题,非管理员用户仍然可以对其创建符号链接。这使得攻击者能够利用符号链接扰乱 Windows 更新服务堆栈,从而引发拒绝服务(Denial of Service, DoS)漏洞。

潜在影响

  1. 安全风险加剧
    • 用户将无法接收未来的安全更新,使系统暴露于已知漏洞的风险中。
    • 对企业和组织而言,这种漏洞可能导致大规模的安全事件。
  2. 系统稳定性受损
    • 如果更新失败或回滚,系统可能会进入不稳定状态,甚至出现崩溃。
  3. 对微软声誉的影响
    • 尽管微软迅速修复了最初的漏洞,但新问题的出现可能会影响用户对其安全更新机制的信任。

微软的回应与未来修复

截至目前,Kevin Beaumont 表示他已经联系了微软安全响应中心(MSRC),但尚未收到正式回复。不过,考虑到该问题的严重性,微软很可能已经意识到这一缺陷,并正在开发后续补丁。

用户建议

在微软发布修复补丁之前,用户应避免手动删除或修改 c:\inetpub 文件夹,以免引发未知问题。此外,建议定期检查系统更新,确保及时应用最新的安全补丁。

评论