『inetpub』フォルダに思わぬ脆弱性。Windows Updateに失敗するようになる
Windowsの『inetpub』フォルダに思わぬ脆弱性が見つかりました。
『inetpub』フォルダは通常、Windows機能の『インターネット インフォメーション サービス』(Internet Information Services / 以下、IIS)をインストールすると作成され、この機能により使用されます。
しかし、日本時間で2025年4月9日にWindows Updateに配信されたセキュリティ更新プログラムをインストールすると、IISを使用していなくても勝手に『inetpub』フォルダが作成されるようになりました。Microsoftによると、特権昇格の脆弱性(CVE-2025-21204)に対処するために、IISを使用していない環境にも『inetpub』フォルダを作成するよう仕様変更したとのこと。
この仕様変更は、Windows10やWindows11、Windows Serverシリーズなど、サポートされているすべてのWindowsに影響します。
セキュリティ研究者のKevin Beaumont氏はこの仕様変更に脆弱性を見つけました。『inetpub』のシンボリックリンクを作成しておくことで、2025年4月9日のセキュリティ更新プログラム(Microsoftが修正しない限りそれ以降の更新プログラムも)のインストールに失敗するとのこと。
手順はコマンドプロンプトから以下のコマンドを実行するだけです。(管理者権限も必要ありません)
mklink /j c:\inetpub c:\windows\system32\notepad.exe |
これにより、『inetpub』のシンボリックリンクが作成され、2025年4月9日のセキュリティ更新プログラムをインストールしようすると、エラーが発生したり、更新プログラムがロールバックされるようになるとのこと。
Kevin Beaumont氏は2週間ほど前にこの脆弱性をMicrosoftに報告しましたが、Microsoftからの返事はなかったと述べています。