Depuis la mise à jour de sécurité d’avril 2025, nous avons tous un nouveau dossier nommé « C:\inetpub » sur nos systèmes Windows, et tout ça sans avoir installé le serveur web IIS. Ce répertoire, censé renforcer la sécurité, peut paradoxalement être exploité pour bloquer les futures mises à jour de Windows. Cet article explore en détail cette vulnérabilité, connue sous le nom de détournement inetpub, ses implications et les mesures à prendre pour s’en prémunir.
Origine du dossier inetpub : une réponse à la vulnérabilité CVE-2025-21204
En avril 2025, Microsoft a corrigé une vulnérabilité d’élévation de privilèges (CVE-2025-21204) liée au service Windows Process Activation. Cette faille permettait à des utilisateurs malveillants de créer des liens symboliques (symlinks) pour obtenir des privilèges élevés via le système de mise à jour de Windows. Pour contrer cette faille, Microsoft a décidé de pré-créer le dossier C:\inetpub avec des permissions spécifiques, empêchant ainsi la création de symlinks malveillants à cet emplacement. Ce dossier est traditionnellement utilisé par le serveur web IIS, mais il est désormais présent sur tous les systèmes Windows, même sans IIS installé. Microsoft a précisé que ce dossier ne doit pas être supprimé, car il fait partie intégrante de la solution de sécurité mise en place. Oui, mais l’histoire ne s’arrête pas là !
Le détournement du dossier inetpub : une nouvelle vulnérabilité
Le chercheur en cybersécurité Kevin Beaumont a découvert que le dossier « inetpub » pouvait être détourné pour bloquer les mises à jour de Windows. En créant une jonction (junction) entre « C:\inetpub » et un fichier système comme notepad.exe, les mises à jour échouent avec le code d’erreur 0x800F081F, indiquant qu’un fichier source est manquant.
Voici comment un utilisateur peut exploiter cette vulnérabilité (source ici) :
mklink /j C:\inetpub C:\Windows\System32\notepad.exeCette commande crée une jonction entre le dossier inetpub et le fichier notepad.exe. Lorsqu’une mise à jour tente d’accéder au dossier inetpub, elle échoue car elle trouve un fichier à la place d’un dossier, provoquant l’erreur mentionnée.
Ce qui rend cette vulnérabilité particulièrement préoccupante, c’est qu’elle peut être exploitée par des utilisateurs sans privilèges administratifs. Sur de nombreuses configurations Windows, même les utilisateurs standards peuvent créer de telles jonctions, rendant le système vulnérable à des attaques internes ou à des logiciels malveillants.
C’est quoi le risque ?
En exploitant cette vulnérabilité, on peut empêcher l’installation de futures mises à jour de sécurité, laissant ainsi un système exposé à d’autres failles. Cela peut également compliquer la gestion des systèmes, il faut s’assurer s’assurer que les mises à jour sont correctement appliquées. Détecter cette attaque est presque mission impossible, car le dossier « inetpub » est censé être présent sur le système. Et oui c’est Microsoft qui nous le dit ! Il faut donc vérifier manuellement si le dossier est une jonction pointant vers un fichier au lieu d’un dossier, ce qui n’est pas immédiatement évident.
Pour vérifier que le dossier « inetpub » est bien un dossier standard et non une jonction, vous pouvez utiliser la commande suivante :
dir C:\ /ALCette commande liste les liens symboliques et les jonctions dans le répertoire C:. Si « inetpub » apparaît dans la liste, cela indique qu’il s’agit d’une jonction.
Bref, le dossier « inetpub« , introduit comme une mesure de sécurité par Microsoft, peut être détourné pour bloquer les mises à jour de Windows. Cela démontre bien l’importance d’avoir une politique intelligente dans la gestion des failles, et oui une solution peut entrainer une autre faille 😉. Je vous invite à vérifier l’intégrité du dossier et de vous assurer qu’il n’a pas été manipulé. En restant vigilant, il est possible de se défendre contre cette vulnérabilité et de maintenir la sécurité des systèmes Windows. Pourquoi pas se faire un petit script qui scan chaque poste le matin ?
Si l’article vous a plu et si vous aimez mon travail, vous pouvez faire un don en suivant ce lien :
