Mysteriöser Ordner in Windows 10 und 11: Neue Sicherheitslücke statt zusätzlicher Schutz
Nach Update von Windows 10 und 11 aufgetauchter Ordner könnte Sicherheit gefährden. (Foto: Ralf Liebhold/Shutterstock)
Nutzer:innen, die am Microsoft-Patchday Anfang April 2025 die Updates KB5055523 (Windows 11) oder KB5055518 (Windows 10) installiert hatten, berichteten von einem mysteriösen neuen Ordner auf ihren Festplatten. Microsoft zufolge sei der Ordner („inetpub“) Teil des Security-Updates, mit dem die Sicherheitslücke CVE-2025-21204 geschlossen worden sei.
Leerer Ordner als Schutz vor Schwachstelle?
Wie allerdings ein leerer Ordner zusätzlichen Schutz gewährleisten kann, erklärte Microsoft nicht. Immerhin schien der Ordner kein zusätzliches Sicherheitsrisiko zu beinhalten, existierte er doch ohnehin schon seit Längerem – bisher allerdings nur auf Systemen, auf denen IIS-Webserver (Internet Information Services) aktiviert sind.
Dass der inetpub-Ordner jetzt auf allen Computern mit Windows 10 und 11 angelegt wurde, sollte dann doch kein Problem sein, könnte man annehmen. Zumal Microsoft die Nutzer:innen auch eigens dazu aufrief, den Ordner bloß nicht zu löschen.
Sicherheitsexperte sieht Schwachstelle durch Ordner
Entsprechend aufsehenerregend ist der Einspruch des Sicherheitsexperten Kevin Beaumont, demzufolge der neue Ordner eine Schwachstelle ins System einführt, wie Golem schreibt. Demnach lassen sich durch diesen Vorgang künftige Sicherheitsupdates unterbinden – und zwar ohne, dass man Admin-Rechte benötigen würde.
Wie das Ganze funktioniert hat Beaumont in seinem Blog Double Pulsar dokumentiert. Kurz gesagt, müssen Angreifer:innen lediglich eine sogenannte Junction (Softlink) zum selben Pfad erstellen, unter dem sich der inetpub-Ordner befinden sollte. Ist dies der Fall, werden laut Beaumont keine Patches mehr eingespielt.
Einfache Verknüpfung unterbindet Updates
Im schlimmsten Fall würde das dazu führen, dass bekannte Sicherheitslücken – für die es eigentlich einen Patch gibt – geöffnet bleiben und Angreifer:innen potenziell Zugriff ermöglichen könnten. Beaumont hat Microsoft seine Entdeckung eigenen Angaben zufolge schon Mitte April gemeldet, bisher aber noch keine Antwort erhalten.
Ebenso mysteriös bleiben die Gründe dafür, dass ein leerer Ordner vor der Ausnutzung einer Sicherheitslücke schützen soll. Auch hierzu hat sich Microsoft nicht weiter geäußert. Was insofern komisch ist, als der Konzern solche Änderungen normalerweise ausführlich begründet.
Wann kommt eine Reaktion von Microsoft?
Jetzt bleibt abzuwarten, ob und wann Microsoft auf die gemeldete Problematik reagiert. Falls ja, wird es wahrscheinlichen einen Fix geben, mit dem die Manipulation von künftigen Updates unterbunden werden dürfte.
„mysteriös bleiben die Gründe“? Das stimmt nicht ganz.
Laut https://www.theregister.com/2025/04/14/windows_update_inetpub/ wird der Ordner mit dem höchsten Schutzniveau (SYSTEM; R/O) angelegt, damit niemand anderes ihn anlegen kann. Sonst könnte ein Angreifer ihn anlegen, hinein schreiben und damit einen Angriff vollziehen.