本月初,有Windows用户发现了一个颇为神秘的“inetpub”文件夹。他们还注意到,删除该文件夹并没有什么问题,至少表面上没有。然而,当被问及此事时,微软警告用户不要这样做。
该公司解释说,该文件夹是最近在 2025 年 4 月补丁星期二更新( Windows 11 / Windows 10 )中修补的符号链接权限提升漏洞的副产品,因此自动创建的。该安全漏洞的编号为 CVE-2025-21204。
符号链接(symbolic link,也称为软链接)是一种链接文件,充当指向其他文件或目录的指针。因此,符号链接会将文件系统路径指向相应的目标文件或目录。然而,由于它们不需要提升权限,因此也容易受到威胁行为者的攻击。
而且,这个看似无害的新文件夹 inetpub 又带来了新的问题。虽然微软已经修复了这个问题,但安全研究员 Kevin Beaumont 发现,新引入的 inetpub 文件夹可能会让非管理员用户通过创建另一个新的符号链接永久阻止 Windows 更新。
他用一个例子解释了如何mklink/j使用“”命令来创建目录连接:
微软最近修补了 CVE-2025-21204,该漏洞允许用户滥用符号链接,通过 Windows 服务堆栈和 c:\inetpub 文件夹来提升权限。
为了解决这个问题,微软从2025 年 4 月的 Windows 操作系统更新开始在所有 Windows 系统上预先创建了 c:\inetpub 文件夹。
但是,我发现此修复程序在 Windows 服务堆栈中引入了拒绝服务漏洞,允许非管理员用户停止所有未来的 Windows 安全更新。
...
因此非管理员用户只需执行 Windows+R、cmd,然后运行:
mklink /j c:\inetpub c:\windows\system32\notepad.exe
这会在 c:\inetpub 和 notepad 之间创建一个符号链接。此后,2025 年 4 月的 Windows 操作系统更新(以及未来的更新,除非微软修复此问题)将无法安装——它们会出错和/或回滚。所以你只能继续使用没有安全更新的版本。
Beaumont补充道,他联系了微软安全研究中心 (MSRC) 团队,但尚未收到回复。不过,微软很可能已经意识到了这个新发现的漏洞,并可能会发布后续补丁。
