پس از بهروزرسانیهای Patch Tuesday ویندوز ۱۰ و ۱۱ در آوریل ۲۰۲۵، کاربران متوجه شدند یک پوشه جدید و مرموز به نام “inetpub” در درایو C آنها ظاهر شده است. نکته عجیب این بود که این پوشه برای خیلی از افراد خالی به نظر میرسید و به همین دلیل برخی کاربران گمان کردند این پوشه میتواند مخرب باشد. به همین خاطر، تعداد زیادی از کاربران حتی اقدام به حذف این پوشه کردند.
اما بعداً مشخص شد که مایکروسافت تایید کرده این پوشه در واقع بخشی از وصله امنیتی ماه آوریل است و برای مقابله با آسیبپذیری امنیتی CVE-2025-21204 که منجر به افزایش سطح دسترسی میشود، ایجاد شده است.
جالب اینجاست که یک پژوهشگر امنیتی اعلام کرد همین پوشه inetpub میتواند توسط مهاجمان برای مسدود کردن دائمی بهروزرسانیهای امنیتی ویندوز هم مورد سوءاستفاده قرار بگیرد. با این حال، مایکروسافت این مشکل را فعلاً در دسته آسیبپذیریهای “متوسط” قرار داده که نیاز به رفع فوری ندارد.
با این وجود، مایکروسافت تاکید میکند پوشه inetpub نباید حذف شود، “چه سرویس اینترنت اینفورمیشن (IIS) فعال باشد و چه نباشد.” این شرکت حتی یک اسکریپت پاورشل جدید منتشر کرده تا اگر کسی این پوشه را حذف کرده، بتواند آن را بازگرداند و تاکید دارد انجام این کار “نیازمند اقدام فوری” است.
این ماجرا یادآور بهروزرسانی اخیر تعاریف Defender برای فایلهای ایمیج ویندوز در مقابل بدافزار Lumma است.
در اطلاعیه امنیتی MSRC مایکروسافت آمده است:
"برای سیستمهایی که KB5055528 نصب شده ولی پوشه %systemroot%\inetpub حذف شده، باید فوراً این مشکل را رفع کنید. اگر پوشه inetpub پاک شده است، باید اسکریپت رفع مشکل Set-InetpubFolderAcl.ps1 را اجرا کنید.
این اسکریپت کارهای زیر را انجام میدهد:
- اگر پوشه inetpub حذف شده باشد، آن را دوباره ایجاد میکند.
- مطمئن میشود که دسترسیها و مجوزهای پوشه به درستی تنظیم شده باشند تا از دسترسی غیرمجاز و آسیبپذیری مرتبط با CVE-2025-21204 جلوگیری شود.
- اگر پوشه DeviceHealthAttestation وجود داشته باشد (که توسط بهروزرسانی امنیتی فوریه ۲۰۲۵ روی برخی نسخههای سرور ایجاد شده)، مجوزهای آن را نیز بهروزرسانی میکند تا امنیت آن حفظ شود."