Microsoft ha publicado un script de PowerShell para restaurar la carpeta "inetpub" vacía, creada por las actualizaciones de seguridad de Windows de abril de 2025, si se elimina. Como Microsoft advirtió previamente, esta carpeta ayuda a mitigar una vulnerabilidad de escalamiento de privilegios de alta gravedad en la Activación del Proceso de Windows (WPA).
En abril, tras instalar las nuevas actualizaciones de seguridad, los usuarios de Windows descubrieron repentinamente que se había creado una carpeta vacía, C:\Inetpub. Dado que esta carpeta está asociada con Internet Information Server de Microsoft, resultaba confuso que se creara cuando el servidor web no estaba instalado.
Esto provocó que algunos usuarios eliminaran la carpeta, lo que los volvió vulnerables a la vulnerabilidad corregida. Microsoft indicó que los usuarios que la eliminaron pueden volver a crearla manualmente instalando Internet Information Services desde el panel de control "Activar o desactivar las características de Windows" de Windows.
Una vez instalado IIS, se agregará una nueva carpeta inetpub a la raíz de la unidad C:\, con los mismos archivos y la misma propiedad SYSTEM que el directorio creado por las actualizaciones de seguridad de Windows de abril. Además, si no se usa IIS, puede desinstalarlo desde el mismo panel de control de Características de Windows para eliminarlo, dejando la carpeta C:\inetpub intacta.
El miércoles, en una nueva actualización del aviso CVE-2025-21204, la compañía también compartió un script de corrección que ayuda a los administradores a recrear esta carpeta desde un PowerShell con los siguientes comandos:
Install-Script -Name Set-InetpubFolderAcl
\Set-InetpubFolderAcl.ps1
Como explica Redmond, el script establecerá los permisos correctos de IIS para evitar el acceso no autorizado y las posibles vulnerabilidades relacionadas con CVE-2025-21204.
También actualizará las entradas de la lista de control de acceso (ACL) del directorio DeviceHealthAttestation en sistemas Windows Server para garantizar su seguridad si se crea antes de las actualizaciones de seguridad de febrero de 2025.
Microsoft: "No lo eliminen".
La falla de seguridad (CVE-2025-21204), mitigada por esta carpeta inetpub (creada automáticamente por las actualizaciones de seguridad de abril, incluso en sistemas sin la plataforma de servidor web IIS instalada previamente), se debe a un problema de resolución de enlaces incorrectos en la pila de Windows Update.
Esto probablemente significa que Windows Update podría seguir enlaces simbólicos en dispositivos sin parches, lo que permite a atacantes locales engañar al sistema operativo para que acceda o modifique archivos o carpetas no deseados.
Microsoft afirma que una explotación exitosa permite a atacantes con privilegios bajos escalar permisos y manipular o realizar operaciones de administración de archivos en el contexto de la cuenta NT AUTHORITY\SYSTEM.
Si bien la eliminación de la carpeta no causó problemas con Windows en nuestras pruebas, Microsoft indicó que se creó intencionalmente y no debe eliminarse. Redmond emitió la misma advertencia en un aviso actualizado sobre la falla de seguridad CVE-2025-21204 para advertir a los usuarios que no eliminen la carpeta vacía %systemdrive%\inetpub.
"Esta carpeta no debe eliminarse, independientemente de si Internet Information Services (IIS) está activo en el dispositivo de destino. Este comportamiento forma parte de los cambios que aumentan la protección y no requiere ninguna acción por parte de los administradores de TI ni de los usuarios finales", advirtió la compañía.
El experto en ciberseguridad Kevin Beaumont también demostró que los usuarios sin derechos de administrador pueden abusar de esta carpeta para bloquear la instalación de actualizaciones de Windows mediante la creación de una unión entre C:\inetpub y cualquier archivo de Windows.
Fuente: BC