Atualização do Windows cria pasta 'inetpub' para mitigar ataque local com privilégio de SYSTEM
- Cyber Security Brazil
- 7 de jun.
- 2 min de leitura
A Microsoft publicou um alerta reforçado e disponibilizou um script em PowerShell para restaurar a pasta C:\inetpub, criada automaticamente pelas atualizações de segurança do Windows em abril de 2025. Apesar de parecer vazia e desnecessária à primeira vista — especialmente em sistemas onde o servidor web IIS (Internet Information Services) não está instalado —, essa pasta desempenha um papel essencial na mitigação de uma vulnerabilidade crítica de escalonamento de privilégios (CVE-2025-21204), ligada à pilha do Windows Update.
A criação da pasta gerou confusão entre usuários e administradores, levando muitos a removê-la por acreditarem que se tratava de um resquício desnecessário do IIS. No entanto, essa exclusão pode reabrir a brecha corrigida pela atualização. A falha em questão está relacionada à resolução incorreta de links simbólicos, o que permitiria a um invasor com poucos privilégios enganar o sistema e executar operações sensíveis com permissões elevadas, no contexto da conta NT AUTHORITY\SYSTEM — o nível mais privilegiado do Windows.
Mesmo que a remoção da pasta inetpub não cause falhas aparentes no funcionamento do sistema, especialistas alertam que ela pode ser explorada de maneira criativa por invasores. O pesquisador de segurança Kevin Beaumont demonstrou que, ao criar junções entre a pasta inetpub e arquivos do sistema, usuários não administradores conseguem bloquear atualizações de segurança, comprometendo ainda mais a integridade do dispositivo.
A Microsoft esclareceu que a criação da pasta é deliberada e não exige nenhuma ação adicional dos usuários ou administradores. O comunicado da empresa é enfático: “Esta pasta não deve ser excluída, independentemente de o IIS estar ativo no sistema”. Para aqueles que já removeram a pasta, a Microsoft disponibilizou um script oficial para restaurá-la sem a necessidade de instalar o IIS manualmente. O objetivo é garantir que os mecanismos de proteção contra a CVE-2025-21204 permaneçam ativos em todos os dispositivos.
댓글