Lorsque Microsoft a publié les mises à jour de sécurité d'avril 2025 pour Windows, les utilisateurs du monde entier ont commencé à remarquer que la mise à jour de Microsoft créait un dossier vide sur le lecteur principal appelé inetpub.
Cela a semé la confusion, car Microsoft était initialement discret sur la présence du dossier. Les notes de version officielles ne contenaient aucune information à ce sujet. Peu de temps après, Microsoft a révélé avoir créé le dossier intentionnellement pour « augmenter la protection ». Les utilisateurs et les administrateurs ont été encouragés à conserver le dossier et à ne pas le modifier.
Informations générales: Microsoft a créé le dossier en réponse directe à CVE-2025-21204, qui permet aux attaquants d'utiliser des liens symboliques pour élever les privilèges.
Il s’avère désormais que la création du dossier pourrait très bien être utilisée par des cybercriminels à des fins néfastes.
Le chercheur en sécurité Kevin Beaumont a partagé des informations sur le problèmesur Medium. Beaumont a découvert que le correctif de Microsoft « introduisait une vulnérabilité de déni de service dans la pile de maintenance Windows ».
Les détails :
- Les utilisateurs réguliers peuvent abuser de ce problème pour arrêter toutes les mises à jour de sécurité Windows.
- Il suffit d'une seule commande à partir d'une invite régulière (non élevée) pour abuser du problème.
Il suffit de créer un nouveau lien symbolique entre le dossier inetpub et une application comme le bloc-notes. Les liens symboliques ne nécessitent pas d'élévation, ce qui signifie que les attaquants n'ont pas besoin d'obtenir un accès élevé à un système pour bloquer les futures mises à jour de sécurité.
Note:La commande donnée par Beaumont sur le site Web semble erronée car mklink /j est utilisé pour créer des liens de jonction renvoyant vers un répertoire et non un fichier. À moins que quelque chose ne me manque, il faut soit supprimer /j pour créer un lien symbolique, soit /h pour créer un lien physique. On ne sait cependant pas si cela bloquera également les mises à jour de Windows.
Une fois exécutées, les mises à jour de sécurité Windows ne s'installeront plus sur la machine cible selon Beaumont. Ils généreront une erreur et reviendront en arrière. Les cybercriminels peuvent utiliser ce piratage pour empêcher de futures installations de mises à jour de sécurité, ce qui pourrait résoudre les problèmes de sécurité qu'ils utilisent pour attaquer les systèmes.
Beaumont dit que la seule façon de résoudre ce problème est que Microsoft le résolve. Il a signalé le problème à Microsoft mais affirme que Microsoft n'a pas encore répondu.
Voir aussi :Correctif : l'historique de protection de sécurité Windows est vide
Pour que cette vulnérabilité soit exploitée, les cybercriminels doivent accéder régulièrement à une machine Windows. Toutes les méthodes courantes de protection de Windows s'appliquent pour éviter que cela ne se produise, notamment en s'assurant que Windows est à jour, en n'installant pas de logiciels provenant de sources douteuses ou en permettant à d'autres d'établir des connexions à distance au système.
Maintenant, c'est à votre tour : que pensez-vous de cela ? Diriez-vous que Microsoft doit être transparent lorsqu’il s’agit d’apporter ces modifications inopinées à Windows ? N'hésitez pas à laisser un commentaire ci-dessous.