Ungewollte Nebenwirkungen nach Sicherheits-Patch
Ein aktuelles Update von Microsoft, das eigentlich eine bestehende Sicherheitslücke schließen sollte, hat unbeabsichtigt eine neue Schwachstelle auf Windows-Systemen geschaffen. Dabei handelt es sich um den Patch zum CVE-Eintrag CVE2025-2104, der im Zuge des April-Patchdays veröffentlicht wurde. Ziel des Updates war es, ein Problem mit der fehlerhaften Verarbeitung von Verknüpfungen im Windows-Dateisystem zu beheben.
Allerdings führte das Update zur automatischen Erstellung eines neuen Ordners mit dem Namen inetpub im Systemlaufwerk C:\ – und dieser hat es in sich. Selbst auf Systemen, auf denen der Internet Information Services (IIS) Webserver nie installiert war, taucht plötzlich dieses Verzeichnis auf. Und genau hier beginnt das Problem vieler Administratoren.
Die neue Schwachstelle: Einfallstor über Verzeichnisverknüpfungen
Der renommierte IT-Sicherheitsexperte Kevin Beaumont hat aufgezeigt, dass dieser Ordner als Angriffsfläche dienen kann. Grund dafür ist die Art und Weise, wie Windows sogenannte Junctions oder symbolische Verknüpfungen behandelt. Solche Verzeichnispointer ermöglichen es, einen Ordner als Alias eines anderen zu deklarieren. Ein Beispiel: D:\Win kann intern auf C:\Winnt\System32 verweisen.
Besonders problematisch ist, dass auch Benutzer ohne Administratorrechte in der Lage sind, solche Junctions im Rootverzeichnis des Systemlaufwerks zu erstellen. Dies erlaubt es potenziellen Angreifern, den neuen inetpub-Ordner so zu manipulieren, dass dieser auf kritische Systemdateien zeigt – beispielsweise zur legitimen Anwendung notepad.exe. Sobald diese Verknüpfung existiert, schlagen nachfolgende Windows-Updates fehl. Schlimmer noch: Dies kann automatisierte Rollbacks auslösen und verhindert den normalen Update-Prozess.
Risiken für Unternehmen: Ausfall von Sicherheitsupdates
Gerade für kleine und mittelständische Unternehmen (KMU) kann dieses Verhalten zu ernsthaften Sicherheitsproblemen führen. Denn ohne die Möglichkeit, Sicherheitsupdates zu installieren, bleiben die Systeme verwundbar – ein Szenario, das Angreifer gezielt ausnutzen könnten. Besonders perfide: Die entsprechende Manipulation lässt sich ohne auffällige Spuren durchführen und wirkt wie ein harmloser Fehler im Dateisystem.
Microsoft selbst hat zu dieser Problematik bislang keine offizielle Lösung oder einen Workaround veröffentlicht. Zwar betont der Softwarehersteller, dass der inetpub-Ordner Teil einer sicherheitsrelevanten Systemänderung sei, doch konkrete Schutzmaßnahmen wurden bisher nicht kommuniziert. Auch eine direkte Rückmeldung an Sicherheitsforscher blieb bislang aus.
Was IT-Abteilungen jetzt tun sollten
Unternehmen sollten die Entstehung des inetpub-Verzeichnisses auf firmeneigenen Geräten genau beobachten. Gibt es in den Ereignisprotokollen Hinweise auf fehlgeschlagene Updates oder Systemrollbacks, sollte eine genauere Analyse durchgeführt werden. Es empfiehlt sich zudem, die Rechtevergabe im Rootverzeichnis von C:\ zu prüfen und gegebenenfalls einzuschränken, um die unautorisierte Erstellung von Junctions zu unterbinden.
Eine proaktive Sicherheitsstrategie besteht auch darin, betroffene Systeme zu identifizieren und manuell nachzuprüfen, ob verdächtige Verknüpfungen existieren. Besonders wichtig: Unternehmen sollten vor geplanten Windows-Updates ein vollständiges Backup erstellen, um im Ernstfall schnell wiederherstellen zu können.
Vermeiden Sie Ausfallzeiten durch professionelle Unterstützung
Gerade in Zeiten sich ständig wandelnder IT-Bedrohungen ist es entscheidend, auf einen erfahrenen Partner zurückgreifen zu können. Mit über zwei Jahrzehnten Erfahrung im IT-Bereich und umfassendem Know-how bei der Betreuung von KMU aus allen Branchen unterstützen wir Sie dabei, Ihre Systeme sicher, stabil und zukunftssicher zu gestalten.
Sollten Sie Unterstützung zu diesem Thema benötigen, so nehmen Sie gerne Kontakt mit uns auf. Mit über 20 Jahren Erfahrung im IT-Bereich und KMU Kunden aus allen Branchen sind wir Ihr kompetenter und zuverlässiger Ansprechpartner.
