Όταν η Microsoft κυκλοφόρησε τις ενημερώσεις ασφαλείας του Απριλίου 2025 για τα Windows, οι χρήστες από όλο τον κόσμο άρχισαν να παρατηρούν ότι η ενημέρωση της Microsoft δημιούργησε ένα κενό φάκελο στην κύρια μονάδα που ονομάζεται inetPub.
Αυτό οδήγησε σε σύγχυση, καθώς η Microsoft ήταν σφιχτή αρχικά για την παρουσία του φακέλου. Οι επίσημες σημειώσεις κυκλοφορίας δεν περιλάμβαναν καμία πληροφορία γι 'αυτό. Λίγο αργότερα, η Microsoft αποκάλυψε ότι δημιούργησε το φάκελο με σκοπό να «αυξήσει την προστασία». Οι χρήστες και οι διαχειριστές ενθαρρύνθηκαν να κρατήσουν το φάκελο και να μην το κάνουν.
Πληροφορίες φόντου: Η Microsoft δημιούργησε το φάκελο ως άμεση απάντηση στο CVE-2025-21204, η οποία επιτρέπει στους επιτιθέμενους να χρησιμοποιούν symlinks για να ανυψώσουν τα προνόμια.
Αποδεικνύεται τώρα ότι η δημιουργία του φακέλου μπορεί πολύ καλά να χρησιμοποιηθεί από τους εγκληματίες στον κυβερνοχώρο για κακούς σκοπούς.
Ο ερευνητής ασφαλείας Kevin Beaumont μοιράστηκε πληροφορίες σχετικά με το θέμασε μέτριο. Η Beaumont ανακάλυψε ότι η Fix της Microsoft "εισήγαγε την άρνηση της ευπάθειας της υπηρεσίας στη στοίβα συντήρησης των Windows".
Τις λεπτομέρειες:
- Οι τακτικοί χρήστες μπορούν να καταχραστούν το πρόβλημα για να σταματήσουν όλες τις ενημερώσεις ασφαλείας των Windows.
- Παίρνει μια ενιαία εντολή από μια τακτική (μη-ανθεκτική) προτροπή για την κατάχρηση του προβλήματος.
Το μόνο που απαιτείται είναι να δημιουργηθεί μια νέα συμβολική σχέση μεταξύ του φακέλου inetPub και μιας εφαρμογής όπως το σημειωματάριο. Οι συμβολικοί σύνδεσμοι δεν απαιτούν ανύψωση, πράγμα που σημαίνει ότι οι επιτιθέμενοι δεν χρειάζεται να αποκτήσουν αυξημένη πρόσβαση σε ένα σύστημα για να εμποδίσουν τις μελλοντικές ενημερώσεις ασφαλείας σε αυτό.
Σημείωμα:Η εντολή που δίνεται από το Beaumont στον ιστότοπο φαίνεται λάθος καθώς το MKLink /J χρησιμοποιείται για τη δημιουργία συνδέσμων διασταύρωσης που συνδέονται με έναν κατάλογο και όχι ένα αρχείο. Εκτός αν μου λείπει κάτι, πρέπει είτε να καταργήσει /j για να δημιουργήσει έναν συμβολικό σύνδεσμο ή /h για να δημιουργήσει έναν σκληρό σύνδεσμο. Το αν αυτό πρόκειται επίσης να εμποδίσει τις ενημερώσεις των Windows είναι ασαφές.
Μόλις εκτελεστεί, οι ενημερώσεις ασφαλείας των Windows δεν θα εγκατασταθούν πλέον στο μηχάνημα προορισμού σύμφωνα με το Beaumont. Θα ρίξουν ένα λάθος και θα επιστρέψουν. Οι εγκληματίες του κυβερνοχώρου μπορούν να χρησιμοποιήσουν το hack για να αποτρέψουν τις μελλοντικές εγκαταστάσεις ενημέρωσης ασφαλείας, οι οποίες ενδέχεται να διορθώσουν ζητήματα ασφαλείας που χρησιμοποιούν για να επιτεθούν συστήματα.
Συνιστώμενη ανάγνωση:Διορθώστε: Δεν μπορείτε να έχετε πρόσβαση σε αυτόν τον κοινό φάκελο, επειδή οι πολιτικές ασφαλείας του οργανισμού σας εμποδίζουν την πρόσβαση επισκεπτών που δεν είναι αυθεντικά
Ο Beaumont λέει ότι ο μόνος τρόπος για την επίλυση αυτού του ζητήματος είναι η Microsoft να το διορθώσει. Αναφέρει το ζήτημα στη Microsoft, αλλά ισχυρίζεται ότι η Microsoft δεν έχει απαντήσει ακόμα.
Προκειμένου να αξιοποιηθεί αυτή η ευπάθεια, οι εγκληματίες του κυβερνοχώρου πρέπει να αποκτήσουν τακτική πρόσβαση σε μια μηχανή των Windows. Όλοι οι συνήθεις τρόποι προστασίας των παραθύρων ισχύουν για να αποτρέψουν αυτό το συμβάν, συμπεριλαμβανομένης της διασφάλισης ότι τα Windows είναι ενημερωμένα, δεν εγκαθιστούν λογισμικό από αμφισβητήσιμες πηγές ή επιτρέποντας σε άλλους να δημιουργήσουν απομακρυσμένες συνδέσεις στο σύστημα.
Τώρα εσείς: Ποια είναι η λήψη σας για αυτό; Θα λέγατε ότι η Microsoft πρέπει να είναι διαφανής όταν πρόκειται να κάνει αυτές τις αιφνιδιαστικές αλλαγές στα Windows; Μη διστάσετε να αφήσετε ένα σχόλιο παρακάτω.