Microsoft ti potajomky pridal do Windowsu priečinok, cez ktorý ťa môže hacker odstaviť od aktualizácií
Microsoft po aktualizácii vytvoril v systéme Windows nový priečinok „inetpub“. Namiesto zvýšenia bezpečnosti však umožňuje bežným používateľom zablokovať budúce aktualizácie systému.
Bezpečnostná komunita bola počas tohto mesiaca nečakane zaskočená objavením novej zraniteľnosti v systéme Windows 11 a 10, ktorá súvisí s priečinkom „inetpub“. Tento priečinok sa po poslednej vlne aktualizácií objavil na diskoch miliónov používateľov Windows 10 a 11, často bez akéhokoľvek vysvetlenia od Microsoftu. Až neskôr spoločnosť priznala, že jeho vytvorenie je zámerné a súvisí s opravou závažnej chyby CVE-2025-21204, ktorá umožňovala eskaláciu privilégií prostredníctvom nesprávneho spracovania symbolických odkazov v aktualizačnom procese systému. Na tému upozornil portál Neowin.
Priečinok „inetpub“ bol pôvodne určený na zvýšenie bezpečnosti, keďže jeho existencia mala zabrániť útočníkom v zneužití sym-linkov na získanie vyšších oprávnení. Microsoft v oficiálnom vyjadrení odporučil priečinok nemazať, nemeniť ani neodstraňovať, bez ohľadu na to, či je na zariadení nainštalovaná služba Internet Information Services (IIS). Paradoxne sa však ukázalo, že práve táto ochranná stratégia otvorila dvere novej bezpečnostnej slabine.
Microsoft jednu chybu opravil a paradoxne druhú vytvoril
Na problém upozornil renomovaný bezpečnostný výskumník Kevin Beaumont, ktorý zistil, že bežný používateľ s lokálnym prístupom. Teda bez administrátorských práv, môže bez problémov zneužiť priečinok „inetpub“ na trvalé zablokovanie budúcich aktualizácií systému. Stačí mu na to jediný príkaz v príkazovom riadku: vytvorenie tzv. „junction pointu“ (adresárového spojenia) medzi priečinkom „inetpub“ a iným súborom alebo adresárom, napríklad systémovým Notepad.exe.
Týmto spôsobom sa Windows Update pokúsi pri ďalšej aktualizácii manipulovať s priečinkom „inetpub“, no narazí na prepojenie, ktoré spôsobí chybu alebo vrátenie aktualizácie späť. Výsledkom je, že systém zostane trvalo odrezaný od ďalších bezpečnostných záplat, čo predstavuje vážne riziko pre každého používateľa aj firemné prostredie. Na rozdiel od pôvodnej zraniteľnosti, ktorú Microsoft opravoval, táto nová slabina nevyžaduje žiadne špeciálne oprávnenia. V kľude totiž stačí lokálny účet s bežnými právami.
Technicky ide o zneužitie toho, že Windows nevyžaduje administrátorské práva na vytvorenie „junction pointu“ v koreňovom adresári disku. Útočník teda nemusí obchádzať User Account Control (UAC) ani iné bezpečnostné mechanizmy. Stačí, ak spustí príkaz mklink /j c:\inetpub c:\windows\system32\notepad.exe v príkazovom riadku. Aktualizačný mechanizmus následne zlyhá pri pokuse o prístup k priečinku, ktorý je v skutočnosti prepojením na iný súbor alebo adresár.
Neprehliadni
Požívatelia sú vystavení veľkému riziku napadnutia počítača!
Závažnosť tejto chyby podčiarkuje aj fakt, že sa týka všetkých podporovaných verzií Windows 10, 11 a dokonca aj serverových edícií. Útočník síce potrebuje fyzický alebo vzdialený prístup k zariadeniu, no v praxi je získanie bežného používateľského účtu často len otázkou času, či už cez phishing, zraniteľné aplikácie alebo slabé heslá.
Microsoft zatiaľ nevydal opravnú aktualizáciu, ktorá by túto sekundárnu zraniteľnosť riešila. Spoločnosť odporúča priečinok „inetpub“ nemazať a taktiež nemeniť, no bezpečnostní experti upozorňujú, že práve jeho existencia v tejto podobe predstavuje riziko. IT administrátori by preto mali monitorovať integritu tohto priečinka a pravidelne kontrolovať, či nebol nahradený symbolickým odkazom alebo inak zmenený.
V prípade problémov s aktualizáciami je vhodné skontrolovať, či „inetpub“ nie je prepojením na iný súbor alebo adresár. Tento incident je tak ďalšou pripomienkou, že aj dobre mienené bezpečnostné opatrenia môžu viesť k nečakaným dôsledkom, ak nie sú dôkladne otestované vo všetkých scenároch. Čo sa samozrejme nie vždy dá.
Komentáre