先日、Windows 11の月例更新プログラムKB5055523をインストールするとCドライブに空の「inetpub」フォルダが作成されるという現象が報告され注目を集めました。
Microsoftは、このフォルダは、セキュリティパッチの一貫として意図的に追加したもので、削除すべきではないと警告していますが、このフォルダの存在があらたなセキュリティ問題を引き起こす可能性があると研究者が指摘していることがわかりました(gHacks)。
そもそも空の「inetpub」フォルダは、シンボリックリンクを悪用したローカル権限昇格の脆弱性(CVE-2025-21204)への対策として導入されたものですが、セキュリティ研究者のKevin Beaumont氏は、この対策によって、別のシンボリックリンクを悪用したサービス拒否(Denial of Service, DoS)脆弱性を引き起す可能性があると指摘しています。
MicrosoftのパッチはC:\inetpubフォルダを強制的に作成し、Windows Updateプロセスで信頼されたパスとして使用しますが、このフォルダに対するアクセス制御が不十分で、管理者権限を持たないユーザー非管理者ユーザーでも、C:\inetpubを別のリソース(例:C:\Windows\System32\notepad.exe)にリンクすることができます。
Beaumont氏は具体例として以下のコマンドを示しています。
mklink /j c:\inetpub c:\windows\system32\notepad.exe
このコマンドは、C:\inetpubをnotepad.exeにリンクするジャンクションポイントを作成し、この結果、2025年4月のWindows Update(および以降のアップデート)が正常に適用できなくなり、エラーが発生するか、アップデートがロールバックされるようになるとのことです。
非管理者ユーザーが意図的にこの操作を行うことで、システムのセキュリティ更新を恒久的にブロックでき、システムを脆弱な状態に保つことが可能になり、これはセキュリティパッチの適用を妨げるDoS攻撃に相当するものとなります。
Kevin Beaumont氏は、この問題を約2週間前にMicrosoft Security Response Center(MSRC)に報告したものの、記事公開時点(2025年4月22日)でMicrosoftからの公式な対応や修正パッチは提供されていないと説明しています。
空のフォルダを作成するという不可解な対策はやはり一時しのぎのものだったのでしょうか。Microsoftの今後の対応に注目です。
