Le fameux répertoire “inetpub” qui est apparu sur les machines Windows 11 suite à l’installation des mises à jour d’avril 2025 n’a pas fini de faire parler de lui ! Lorsqu’il est créé d’une certaine façon, il empêche l’installation des futures mises à jour Windows, ce qui est un vrai problème de sécurité.
Le répertoire “inetpub”, tout un symbole
À l’issue du déploiement des mises à jour de sécurité du Patch Tuesday d’avril 2025, de nombreux utilisateurs de Windows ont constaté la création d’un dossier nommé “inetpub” à la racine de leur disque système (“C:”). Habituellement, ce répertoire est lié au serveur Web IIS de Microsoft, qu’il est possible d’installer sur Windows et Windows Server. Cela a donc semblé particulièrement étrange de voir apparaître ce répertoire sur des systèmes où IIS n’était pas installé.
Microsoft a rapidement réagi par une mise à jour de son bulletin de sécurité, afin de confirmer que ce dossier était volontairement ajouté dans le cadre d’un correctif pour une faille de sécurité : la CVE-2025-21204.
Cependant, cette nouveauté s’est révélée être une nouvelle faille potentielle : le dossier “inetpub” peut être manipulé par un attaquant pour bloquer l’installation de futures mises à jour Windows. Un comble.
Déni de service sur Windows Update avec le répertoire “inetpub”
L’expert en cybersécurité Kevin Beaumont a mis en lumière une faille de sécurité exploitant ce fameux dossier nommé “inetpub”. Dans un nouvel article, il explique : “J’ai découvert que ce correctif introduit une vulnérabilité de déni de service dans la pile de service Windows qui permet aux utilisateurs non-administrateurs d’arrêter toutes les futures mises à jour de sécurité de Windows.”
Grâce à une simple commande, il est possible pour un utilisateur de créer un lien symbolique (une jonction) entre le dossier “C:\inetpub” et un fichier système présent sur la machine, tel que notepad.exe que l’on retrouve sur toutes les installations de Windows. Ce qui donne :
mklink /j c:\inetpub c:\windows\system32\notepad.exe
Selon Kevin Beaumont, le mécanisme de mise à jour échouera car il s’attend à trouver un répertoire, et non un fichier. Une mauvaise gestion de ce cas particulier dans le service Windows fait qu’il va y avoir un plantage du service Windows Update.
Lorsqu’un lien symbolique de ce type est en place sur la machine, l’installation d’une mise à jour provoque une erreur 0x800F081F. Il a notamment pu valider ce comportement en créant le lien symbolique avant d’installer la mise à jour d’avril 2025. Un attaquant pourrait tout à fait utiliser cette technique pour provoquer un déni de service sur le service de mise à jour d’un ordinateur, empêchant ainsi l’installation des correctifs de sécurité.
Kevin Beaumont a signalé ce problème de sécurité aux équipes de Microsoft. Il ne bénéficiera pas d’un correctif immédiat, car il ne répond pas aux critères actuels du MSRC de Microsoft. Néanmoins, la firme de Redmond devrait inclure un correctif dans une future mise à jour (Patch Tuesday de Mai 2025, peut-être).
“Il ne répond pas aux critères actuels du MSRC pour un service immédiat car la mise à jour ne s’applique que si le dossier “inetpub” est une jonction vers un fichier et réussit en supprimant le lien symbolique inetpub et en réessayant.”, a répondu Microsoft à Kevin Beaumont.
Qu’en pensez-vous ?
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.