Na de Patch Tuesday-updates van april 2025 voor Windows 10 en 11 merkten veel gebruikers een nieuw en mysterieus systeemmapje op met de naam "inetpub" in de hoofdmap van de C:-schijf. Wat het extra opvallend maakte, was dat deze map bij veel gebruikers leeg leek te zijn. Daardoor werd al snel gedacht dat het om een mogelijk kwaadaardig bestand ging, en besloten sommigen de map handmatig te verwijderen.
Later bevestigde Microsoft echter dat de map wel degelijk legitiem is en onderdeel uitmaakt van de beveiligingsupdate van april. Deze update werd uitgerold ter bescherming tegen een escalatie-van-rechten-kwetsbaarheid met de aanduiding CVE-2025-21204.
Opmerkelijk genoeg ontdekte een beveiligingsonderzoeker dat de aanwezigheid van deze inetpub-map óók misbruikt zou kunnen worden door kwaadwillenden om Windows-updates permanent te blokkeren. Microsoft erkent dit risico, maar schaalt het momenteel in als een kwetsbaarheid met een "gematigde" ernst, wat betekent dat het geen directe noodpatch vereist.
Toch benadrukt Microsoft dat de inetpub-map niet verwijderd mag worden, zelfs niet als Internet Information Services (IIS) niet geactiveerd is op het systeem. Voor systemen waar de map al verwijderd is, heeft Microsoft een herstelscript gepubliceerd dat meteen uitgevoerd moet worden om mogelijke beveiligingsrisico’s te beperken.
Het PowerShell-script met de naam Set-InetpubFolderAcl.ps1 voert de volgende acties uit:
-
Herciteerd de inetpub-map als deze verwijderd is.
-
Stelt de juiste machtigingen (ACL’s) in voor deze map, zodat onbevoegde toegang wordt voorkomen en de kwetsbaarheid CVE-2025-21204 wordt afgedekt.
-
Werkt de toegangsrechten bij van de map DeviceHealthAttestation, indien aanwezig. Deze map werd in februari 2025 op bepaalde Windows Server-versies toegevoegd. Het script controleert en beveiligt ook deze map waar nodig.
Microsoft geeft aan dat dit script met beheerdersrechten (elevated privileges) moet worden uitgevoerd. Het is beschikbaar via de officiële PowerShell Gallery-website van Microsoft, waar ook extra instructies te vinden zijn voor gebruikers die hulp nodig hebben.
Deze situatie doet denken aan recente updates van Microsoft Defender, die zich richtten op Windows-imagebestanden ter bescherming tegen de Lumma-malware.
Kortom: heb je na de april-update de inetpub-map verwijderd, dan wordt het ten zeerste aanbevolen om het herstelscript zo snel mogelijk uit te voeren om je systeem correct te beveiligen.
Door: Drifter
Aanbevolen Reacties
Er zijn geen reacties om weer te geven.
Log in om te reageren
Je kunt een reactie achterlaten na het inloggen
Login met de gegevens die u gebruikt bij softtrack