Microsoft tajni direktorijum inetpub: Ispravka ili prijetnja?

AUTOR ·

Pojava direktorijuma “inetpub” na brojnim Windows uređajima izazvala je zabrinutost zbog njegovog potencijalnog uticaja na bezbjednost sistema. Iako je Microsoft ispravka za ranjivost CVE-2025-21204 bila namijenjena rješavanju ranjivosti u Windows servisnom skupu uz pomoć direktorijuma “inetpub”, čini se da je ovo ažuriranje možda uvelo novi problem – onaj koji omogućava korisnicima koji nisu administratori da trajno blokiraju buduća Windows ažuriranja.

inetpub

Microsoft tajni direktorijum inetpub: Ispravka ili prijetnja?; Source: Bing Image Creator

TAJNI DIREKTORIJUM INETPUB

U aprilu 2025. godine, kompanija Microsoft je objavila kritična bezbjednosna ažuriranja kako bi se pozabavila sa CVE-2025-21204, ranjivošću koja je ocijenjena kao sa CVSS 3.1 ocjenom od 7,8. Ova ranjivost je uključivala nepravilno rješavanje veze prije pristupa datoteci (“praćenje veze”) unutar Windows skupa za ažuriranja, što je omogućilo neovlašćenom zlonamjernom akteru da lokalno eskalira privilegije. Ozbiljnost ovog problema nije promakla Microsoft bezbjednosnom timu, koji je brzo krenuo u akciju kako bi razvio rješenje.

Strategija ublažavanja koju je implementirala kompanija Microsoft imala je za cilj da spriječi zlonamjerne aktere da iskoriste ranjivost i steknu povećane privilegije na pogođenim sistemima. Da bi postigla ovaj cilj, kompanija je uvela novi direktorijum pod nazivom “inetpub” na sistemskom disku svih Windows sistema, bez obzira na to da li je Internet Information Services (IIS) instaliran ili ne. Ovaj potez na prvi pogled može djelovati kontraintuitivno, ali je važno razumjeti da je kompanija Microsoft eksplicitno upozorila korisnike da ne brišu ovu fasciklu. Razlog za ovo upozorenje je jednostavan: direktorijuma “inetpub” je postao sastavni dio bezbjednosne ispravke osmišljene da spriječi zlonamjerne aktere da iskoriste CVE-2025-21204.

 

“Nakon instaliranja ažuriranja navedenih u tabeli Bezbjednosnih ažuriranja za vaš operativni sistem, na vašem uređaju će biti kreirana nova fascikla %systemdrive%\inetpub.

Ova fascikla ne bi trebalo da se briše bez obzira na to da li je Internet Information Services (IIS) aktivan na ciljnom uređaju. Ovo ponašanje je dio promjena koje povećavaju zaštitu i ne zahteva nikakvu akciju od IT administratora i krajnjih korisnika.”

Microsoft

 

Uvođenje nove ranjivosti

Poznati sigurnosni istraživač Kevin Beaumont je otkrio da rješenje kompanije Microsoft za CVE-2025–21204 uvodi ranjivost uskraćivanja usluge (eng. denial of service – DoS) koja omogućava korisnicima koji nisu administratori da trajno blokiraju bezbjednosna ažuriranja operativnog sistema Windows. Ovo alarmantno otkriće ističe važnost budnosti i proaktivnih mjera u održavanju robusne sajber bezbjednosti.

 

“Otkrio sam da ova ispravka uvodi ranjivost uskraćivanja usluge u Windows servisnom skupu koja omogućava korisnicima koji nisu administratori da zaustave sva buduća bezbjednosna Windows ažuriranja.

Radi sa praktično bilo kojom datotekom, mislim da je to zato što servisni skup očekuje da c:\inetpub bude direktorijum – ali mklink vam omogućava da napravite spoj sa datotekom.”

– Kevin Beaumont –

 

Problem nastaje zbog kreiranja tačaka spajanja, koje predstavljaju preusmjeravanja sistema datoteka u sistemu Windows. Beaumont je otkrio da pojedinci mogu jednostavnom operacijom komandne linije koristeći standardne korisničke privilegije da kreiraju ove tačke spajanja na svojim sistemima. Metod eksploatacije je iznenađujuće jednostavan, zahtjevajući samo osnovni pristup komandnoj liniji i nikakva administratorska prava.

Istraživanje otkriva da se ranjivost može iskoristiti jednostavnom komandom koja kreira simboličku vezu između zaštićenog fascikle direktorijuma “inetpub” i sistemske datoteke. Ova komanda je sljedeća:

mklink /j c:\inetpub c:\windows\system32\notepad.exe

Ova komanda uspostavlja tačku spajanja koja preusmjerava direktorijum “inetpub” u Windows Notepad, efikasno prekidajući mehanizam ažuriranja. Kada se ova tačka spajanja uspostavi, Windows Update nailazi na greške prilikom pokušaja interakcije sa fasciklom, što dovodi do neuspjeha ili vraćanja ažuriranja.

Ono što najviše zabrinjava kod ove ranjivosti je njena upornost. Za razliku od privremenih napada uskraćivanja usluge (DoS) koji se mogu riješiti jednostavnim ponovnim pokretanjem sistema, ovaj problem se nastavlja dok neko ručno ne riješi tačku spajanja ili ponovo ne instalira cio operativni sistem. To znači da standardni korisnici mogu da kreiraju ove tačke spajanja na mnogim sistemima sa podrazumijevanim podešavanjima, što potencijalno sprečava instaliranje kritičnih bezbjednosnih ažuriranja na cio sistem.

 

Uticaj

Uticaj ove nove ranjivosti na Windows operativne sisteme je značajan, uzrokujući stalni problem uskraćivanja usluge (DoS) koji korisnici koji nisu administratori mogu iskoristiti da zaustave instaliranje svih budućih bezbjednosnih ažuriranja. To znači da bi pogođeni uređaji ostali ranjivi na druge bezbjednosne propuste koji su već ispravljeni i dostupni, jer ne mogu da primaju kritične ispravke i ažuriranja.

Kada se izvrši spajanje koje preusmjerava direktorijum “inetpub” u Windows Notepad, stvarni direktorijum “inetpub” više ne može biti kreiran, što zauzvrat sprečava instaliranje bezbjednosnih ažuriranja. Ovo ima ozbiljne implikacije i za sistemske administratore i za korisnike, jer ostavlja njihove sisteme izloženim potencijalnim prijetnjama koje su mogle biti ublažene ili otkonjene instaliranjem blagovremenih ispravki.

Uticaj na sistem administratore je posebno zabrinjavajući, jer im se sada savjetuje da prate svoje sisteme u potrazi za neobičnim tačkama spajanja kako bi spriječili takve napade. Ovo dodaje dodatni sloj složenosti i odgovornosti već zahtjevnom poslu održavanja bezbjednih Windows okruženja. Pored toga, ako bi neko mogao da iskoristi ovu ranjivost u velikim razmjerama (npr. putem zlonamjernog softvera ili drugih zlonamjernih sredstava), to bi moglo imati dalekosežne posljedice po čitave mreže.

 

“Nakon pažljive istrage, ovaj slučaj je trenutno ocijenjen kao problem umjerene ozbiljnosti.

Ne ispunjava trenutne MSRC zahteve za hitnu uslugu, jer se ažuriranje ne primjenjuje samo ako je fascikla “inetpub” spojena sa datotekom i uspijeva nakon brisanja simboličke veze “inetpub” i ponovnog pokušaja.”

Microsoft odgovor

 

ZAKLJUČAK

Ranjivost koja omogućava izvršavanje spajanja koje preusmjerava direktorijum “inetpub” u Windows Notepad, predstavlja složen problem koji zahteva pažljivu analizu i razmatranje od strane sistem administratora i stručnjaka za bezbjednost. Činjenica da se ovaj naizgled bezopasan direktorijum može iskoristiti da bi se spriječila buduća ažuriranja Windows operativnog sistema ističe potrebu za stalnom budnošću u održavanju bezbjednosti sistema.

Ironija ovdje leži u činjenici da je direktorijum “inetpub” prvobitno uvela kompanija Microsoft da bi ispravila ranjivost koja je omogućavala zlonamjernim akterima da zloupotrebe simboličke veze za povećanje privilegija koristeći Windows servisni skup i fasciklu direktorijum “inetpub”. Međutim, ova ispravka sama po sebi postala izvor drugog problema – onog koji se može iskoristiti čak i bez povećanih privilegija, što može poslužiti kao podsjetnik da čak i dobronamjerne ispravke mogu imati neželjene posljedice.

Tehnički detalji koji okružuju ovu ranjivost su podjednako fascinantni i uznemirujući. Upotreba spojnih tačaka za povezivanje direktorijuma sa datotekom kao što je Notepad pokazuje koliko lako zlonamjerni akteri mogu iskoristiti ovu slabost u zlonamjerne svrhe. Sama činjenica da sistem administratori moraju da prate svoje sistemske diskove u potrazi za neobičnim spojnim tačkama naglašava potrebu za proaktivnim bezbjednosnim mjerama.

Na kraju krajeva, ova ranjivost služi kao upozorenje o važnosti kontinuiranog testiranja i validacije u razvoju softvera. Ranim identifikovanjem ranjivosti, programeri mogu preduzeti korake da ih ublaže ili eliminišu pre nego što nanesu štetu. Stoga, ovdje je važno naglasiti vrijednost saradnje između sigurnosnih istraživača, programera i stručnjaka za bezbjednost.

 

ZAŠTITA

Evo nekoliko preporuka o tome kako se zaštititi od ranjivost uskraćivanja usluge opisane u tekstu iznad:

  1. Za organizacije koje koriste Windows 10 ili novije verzije, implementacija Windows Update Client Policies je odličan način za upravljanje ažuriranjima i sprečavanja pojave ranjivosti. Ova funkcija omogućava administratorima da kontrolišu koja su ažuriranja instalirana na uređajima kompanije, čime se smanjuje rizik od iskorišćavanja bezbjednosnih propusta. Pored toga, postoji nekoliko renomiranih alata trećih strana koji mogu pomoći sistem administratorima da efikasnije upravljaju ažuriranjima sistema Windows. Ovi alati često uključuju funkcije kao što su automatsko ažuriranje, ispravke i mogućnosti izjašnjavanja, što može pomoći u sprečavanju zloupotrebe ove ranjivosti;
  2. Redovno instaliranje najnovijih bezbjednosnih ispravki kompanije Microsoft je neophodno za zaštitu od poznatih ranjivosti poput problema sa direktorijum “inetpub”. Ažuriranjem sistema Windows najnovijim ažuriranjima, korisnici smanjuju svoju izloženost potencijalnim eksploatacijama;
  3. Instaliranje i redovno ažuriranje efikasnog antivirusnog programa može pomoći u zaštiti sistema od zlonamjernog softvera koji bi mogao biti korišćen u vezi sa ovom ranjivošću. Potražiti proizvode renomiranih dobavljača sa naprednim mogućnostima otkrivanja prijetnji, kao što je analiza zasnovana na mašinskom učenju. Redovno ažurirati potpise kako bi se ostalo ispred novih prijetnji;
  4. Segmentiranje mreža na manje, izolovane oblasti je još jedan način da se ograniči širenje potencijalnih eksploatacija povezanih sa ovom ranjivošću. Razdvajanjem osjetljivih podataka i sistema u odvojene podmreže, organizacije mogu smanjiti svoju izloženost u slučaju da zlonamjerni akter dobije pristup putem ove ranjivosti;
  5. Redovne rezervne kopije su neophodne za zaštitu podataka u slučaju da nešto krene po zlu sa ranjivošću uskraćivanja usluge ili bilo kojim drugim bezbjednosnim nedostatkom koji bi mogao nastati iz njega. Koristiti renomirani softver za pravljenje rezervnih kopija da bi se kreirale kopije kritičnih datoteka, podešavanja i operativnih sistema na spoljnim medijima kao što su USB diskovi, mrežni uređaji za skladištenje podataka (eng. network-attached storage – NAS) ili pouzdane usluge za skladištenje u oblaku;
  6. Redovno pregledanje dnevnika događaja može pomoći u identifikaciji potencijalnih problema povezanih sa ovom ranjivošću pre nego što postanu veliki problemi. Ovaj proaktivni pristup omogućava IT stručnjacima da brzo riješe sve bezbjednosne probleme i spriječe dalje iskorišćavanje ovog problema;
  7. Posjedovanje efikasnog plana odgovora na sajber prijetnju je ključno za rješavanje neočekivanih događaja poput eksploatacije koja proizilazi iz problema sa direktorijum “inetpub”. Razvijati jasne procedure sa timom, uključujući komunikacione protokole, strategije zadržavanja, tehnike iskorjenjivanja, metode oporavka i aktivnosti nakon incidenta kako bi se osigurala brza akcija kada je to potrebno.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.