Am Puls von Microsoft

inetpub – vermeintlicher „Geister-Ordner“ unter Windows schafft einen neuen Angriffspunkt

inetpub - vermeintlicher "Geister-Ordner" unter Windows schafft einen neuen Angriffspunkt

Mit dem April-Patchday tauchte unter Windows 10 und Windows 11 plötzlich der Ordner „inetpub“ auf. Viele Nutzer wunderten sich über den vermeintlichen „Geister-Ordner“. Microsoft empfahl, ihn nicht zu löschen. Jetzt zeigt sich: Die seltsame Vorgehensweise schafft einen neuen Angriffsweg. Die tatsächliche Gefahr lässt sich schwer einschätzen, die Auswirkungen können aber dennoch fatal sein.

Der Ordner „inetpub“ gehört zu den Internet Information Services. Mit dem April-Patchday tauchte er auch auf Systemen auf, die diesen Dienst nicht nutzen. Microsoft beruhigte und gab an, dies sei Teil der aktuellen Sicherheitsupdates. Gleichzeitig empfahlen die Redmonder, diesen Ordner nicht zu löschen.

Details dazu hier: Ordner inetpub unter Windows ist Teil eines Sicherheitsupdates.

Jetzt hat sich der Sicherheitsexperte und Ex-Microsoft-Mitarbeter Kevin Beaumont zu Wort gemeldet und aufgezeigt, wie sich dieser Ordner für einen neuen Angriffsweg nutzen lässt.

Durch die Erstellung eines Symlinks mit dem Kommandozeilenbefehl mklink, der den Pfad c:\inetpub mit einem anderen Element verknüpft, lässt sich die Installationsroutine für Windows Updates aus dem Tritt bringen. In der Folge lässt sich das Update nicht installieren.

Im konkreten Beispiel hat Beaumont einen Symlink von c:\inetpub auf die notepad.exe erstellt. Die Installation des April-Sicherheitsupdates schlug anschließend fehl. Mutmaßlich ist auf Systemen, die man auf diese Weise manipuliert, nie wieder die erfolgreiche Installation von Updates möglich. Es sei denn, Microsoft ändert die Implementierung der Sicherheitskorrektur, die man mit dem Upril-Update umgesetzt hat.

Pikant an dieser Geschichte ist, dass sich ein Symlink mit einfachen Benutzerrechten erstellen lässt, was einen erfolgreichen Angriff erleichert. Beaumont hat die Problematik nach eigener Aussage vor zwei Wochen an Microsoft gemeldet, bislang aber keine Rückmeldung erhalten.

Wie hoch das Risiko ist, lässt sich schwer einschätzen. Es ist allerdings einigermaßen offensichtlich, dass hier handwerklich nicht gut gearbeitet wurde.

Artikel im Forum diskutieren (18)

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 17 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige
Anzeige