Descubierta por el investigador de seguridad Kevin Beaumont, la actualización más reciente para Windows 10 y Windows 11 introduce un fallo que permitiría que un atacante bloquee todas las actualizaciones de Windows, dejándolo sin los parches de seguridad necesarios.
El problema se debe a un cambio implementado en la actualización de abril de 2025, diseñada para mitigar una vulnerabilidad de escalamiento de privilegios mediante enlaces simbólicos, identificada como CVE-2025-21204. Como parte de la corrección, Microsoft comenzó a crear automáticamente una carpeta llamada "inetpub" en todos los sistemas Windows 10 y Windows 11.
La carpeta inetpub, generalmente asociada con instalaciones del servidor web IIS, ahora desempeña un papel fundamental en el proceso de actualización de Windows. La intención de Microsoft era prevenir la escalada de privilegios mediante enlaces simbólicos, creando este directorio de forma preventiva. Los enlaces simbólicos son punteros del sistema de archivos que pueden redirigir procesos a otros archivos o ubicaciones sin necesidad de permisos elevados.
Microsoft corrige un fallo de Windows introduciendo otro completamente nuevo
Aunque Microsoft advirtió a los usuarios que no eliminaran esta carpeta, Beaumont descubrió que no hacerlo puede ocasionar una nueva vulnerabilidad de denegación de servicio en la pila de servicios de Windows. El investigador afirma que usuarios sin permisos de administrador podrían explotar la carpeta mediante una operación básica desde la línea de comandos:
Al ejecutar el comando
mklink /j c:\inetpub c:\windows\system32\notepad.exe, (NO lo hagas) un usuario
crea una unión de directorios que, en esencia, redirige la carpeta. Esta
modificación provoca que todas las actualizaciones posteriores de Windows
fallen durante la instalación. Al crear la redirección, los procesos de
actualización críticos se revierten o se cancelan por completo, deteniendo la
distribución de futuras revisiones.
Dado que el ataque no requiere permisos elevados, cualquier usuario local puede ejecutarlo, lo que representa una vulnerabilidad significativa. Microsoft aún no ha emitido un comunicado ni una solución oficial para este nuevo problema. Beaumont confirmó que contactó al Centro de Investigación de Seguridad de Microsoft hace dos semanas, pero no ha recibido respuesta.
La vulnerabilidad afecta a todos los sistemas que tienen instalada la actualización de seguridad de abril de 2025, por lo que su alcance es amplio. Aunque el problema original estaba relacionado con el escalamiento de privilegios, este nuevo vector introduce un método para deshabilitar permanentemente las actualizaciones críticas de seguridad.
Actualmente, se desconoce si Microsoft publicará una corrección específica o incluirá una solución más amplia en una futura actualización acumulativa. Como medida temporal, se recomienda eliminar la carpeta o restringir el acceso a los directorios sensibles del sistema operativo.
Fuente: Hipertextual