Table des matières
Récemment, nous avons couvert la façon dont l'Inetpub est un dossier Windows important et vous ne devriez pas le supprimer pour des raisons de sécurité. Il s'avère que son existence est une vulnérabilité de sécurité en soi. Oui, il est vraiment facile de manipuler ce dossier même par des utilisateurs non-administratifs pour compromettre la sécurité des PC. Découvrons comment le dossier Inetpub peut être exploité et comment l'empêcher jusqu'à ce que Microsoft fournit une vraie solution.
Comment le dossier IneTpub est-il piratable?
En commençant par la mise à jour cumulative de Windows 11 avril 2025, chaque système crée maintenant un dossier INETPUB vide dans le lecteur C. Cela était censé corriger une vulnérabilité qui a abusé des répertoires manquants pour planter des liens symboliques dans la pile de mise à jour Windows. Le problème est qu'un attaquant peut remplacer ce dossier par une jonction de répertoire, ce qui fait que Windows Update atteint la mauvaise cible et échoue.
Toute personne ayant accès à votre PC peut exécuter une seule commande sans privilèges d'administration de modifier le répertoire final du dossier INETPUB. Comme l'a découvert le chercheur en sécurité Kevin Beaumont, s'ils exécutent la commande mklink /J C:inetpub C:WindowsSystem32notepad.exeils peuvent rediriger l'accès au dossier vers le bloc-notes (ou tout autre fichier), ce qui fait échouer les mises à jour de Windows.
Sous le capot, la pile de service Windows s'exécute en tant que système et traite C: Inetpub en tant que répertoire de confiance. Il ne vérifie pas les points ou la propriété répartis, donc lorsqu'il essaie d'y mettre des fichiers et trouve une jonction à un fichier à la place, la mise à jour échoue ou recule.
La solution temporaire à cette vulnérabilité
Jusqu'à présent, Microsoft n'a pas commenté cette vulnérabilité ou s'il y aura une solution dans une mise à jour à venir. Jusqu'à ce qu'ils fassent quelque chose, vous pouvez prendre des mesures par vous-même pour minimiser les chances d'exploitation de cette vulnérabilité.
La création d'une jonction de répertoire nécessite des autorisations d'écriture / supprimer sur le dossier parent. En dépouillant ces autorisations de tous les comptes d'utilisateurs, mais en les accordant toujours au système et à TrustInstaller, vous bloquez tout processus de non-système (y compris les administrateurs) de l'utilisation mklink /J sur «C: Inetpub». C'est exactement ce que nous faisons ci-dessous:
Dans le lecteur C, cliquez avec le bouton droit sur le dossier INETPUB et sélectionnez Propriétés.
Déplacez-vous vers le Sécurité Onglet et cliquez sur Avancé en bas.
Ici, cliquez sur le Désactiver l'héritage bouton puis sélectionner Supprimer toutes les autorisations héritées de cet objet lorsque vous y êtes invité.
Maintenant, cliquez sur Ajouter et cliquez sur le Sélectionnez un directeur lien. Dans la boîte de dialogue suivante, entrez SYSTEM Dans le champ de texte, cliquez sur le Vérifier les noms bouton, et cliquez sur D'ACCORD.
Sous Autorisation de basesélectionner Contrôle complet puis cliquez sur D'ACCORD.
Répéter le Ajouter étapes à nouveau, mais cette fois, entrez NT SERVICETrustedInstalleraccorder Contrôle completet cliquez D'ACCORD. Après, cliquez D'ACCORD sur toutes les fenêtres ouvertes pour sortir.
Voilà, maintenant aucun utilisateur ne pourra accéder ou modifier le dossier, et toute tentative fera apparaître le contexte de la fenêtre de l'autorisation Windows. Windows et le Updater pourront toujours accéder au dossier et mettre à jour le PC.
Si vous devez réintégrer toutes les modifications ci-dessus, ouvrez le Paramètres de sécurité avancés Fenêtre à nouveau, cliquez sur Activer l'héritagepuis cliquez sur Appliquer.
Cela reopulera les entrées d'autorisation d'origine. Supprimez simplement le créé manuellement SYSTÈME et TrustInstaller Entrées en les sélectionnant et en cliquant Retirer.
Cette solution devrait assurer la sécurité de votre PC jusqu'à ce que Microsoft corrige la vulnérabilité. Les nouvelles autorisations devraient être suffisantes pour assurer des mises à jour de fenêtres lisses. Cependant, si vous faites face aux problèmes de mise à jour de Windows, essayez de réinitialiser les composants de la mise à jour Windows avant de réinitialiser ces autorisations.
