Microsoftが4月のPatch Tuesdayで配信したWindowsセキュリティ修正により、Cドライブ直下にSYSTEM権限で「inetpub」フォルダが自動生成される仕様が導入された。この変更は特権昇格脆弱性(CVE-2025-21204)対策であり削除は推奨されないが、サイバーセキュリティ専門家ケビン・ボーモント氏は、inetpubフォルダを悪用して将来のWindowsアップデートを阻止できる問題を指摘した。

ボーモント氏の検証によれば、管理者権限なしでも「mklink /j」コマンドによりinetpubとシステムファイル間にジャンクションを作成でき、アップデート時にエラー「0x800F081F」を誘発できるという。この脆弱性はMicrosoftに報告されたが、中程度の深刻度とされ、現時点では即時修正は予定されていない。

「inetpub」フォルダが引き起こす新たな脆弱性 一般ユーザーにも悪用可能な危険性

4月のPatch Tuesday適用後、WindowsではCドライブ直下にSYSTEMアカウント所有の「inetpub」フォルダが自動的に作成されるようになった。この対応は、Windows Process Activationサービスに存在していた特権昇格脆弱性「CVE-2025-21204」の修正措置の一環である。しかしながら、サイバーセキュリティ専門家ケビン・ボーモント氏の指摘により、inetpubフォルダを利用した新たな悪用手段が存在することが判明した。具体的には、管理者権限を持たないユーザーでも「mklink /j」コマンドを用いてinetpubフォルダと任意のファイル間にジャンクションを作成でき、これによりWindowsの将来のアップデートを意図的に阻害することが可能となる。

この手法を用いると、サービススタックがinetpubを通常のフォルダと認識できなくなり、結果として更新処理が失敗し、エラーコード「0x800F081F」(CBS_E_SOURCE_MISSING)が発生する。この脆弱性についてMicrosoftには報告が行われたものの、同社は「中程度(Moderate)」の深刻度と評価しており、即時対応は行わない方針を示している。inetpubフォルダを削除せずに放置するよう推奨している現状では、注意深く運用状況を見守る必要がある。

サービススタックとジャンクションの盲点 想定外の挙動が生んだアップデート失敗のメカニズム

Windowsのサービススタックは、システム上の特定のフォルダ構造に依存してアップデート作業を進行する設計となっている。Microsoftは通常、inetpubをディレクトリ(フォルダ)として認識する前提で動作させているが、mklinkコマンドを用いることでファイルに対するジャンクションも作成できる仕様となっている。この盲点により、ファイルへのリダイレクトが発生すると、更新プログラムは想定されたフォルダパスを正しく処理できず、ソース不明エラーを引き起こす結果となる。

特に興味深い点は、Microsoft自身のドキュメントにもジャンクションが本来フォルダ間のリンク用に設計されたことが記載されているにもかかわらず、実際にはファイルへのジャンクションも技術的に可能である点である。この仕様と運用のギャップが、セキュリティアップデートという極めて重要なプロセスに影響を及ぼす要因となった。今後の更新でinetpubの存在確認ロジックが改良される可能性は考えられるが、当面は自己防衛策を講じるしかない状況である。

Source:BleepingComputer