Windows-Update schafft neue Schwachstelle

Microsofts Entwickler haben erneut Pech mit Windows-Updates. Ein Patch, der eine Sicherheitslücke in Windows-Betriebssystemen schließt, mit der Angreifer ihre Rechte im System ausweiten können, erstellt im Systemlaufwerk den Ordner "inetpub". Ein renommierter IT-Sicherheitsforscher hat herausgefunden, daß das jedoch eine neue Schwachstelle im System öffnet.

Der IT-Security-Experte Kevin Beaumont hat seine Erkenntnisse in einen Blog-Beitrag gegossen. Der Microsoft-Patch zum Schließen einer Sicherheitslücke mit dem CVE-Eintrag CVE2025-2104 wurde zum April-Patchday veröffentlicht. Das Problem, das das Update löst, betrifft eine falsche Auflösung von Verknüpfungen ("link following"). Mit solchen Verknüpfungen läßt sich nun jedoch Schindluder treiben.

Windows kennt seit Windows 2000 sogenannten "Junctions" als Verknüpfungen. Dabei dient ein Verzeichnis als Alias für ein anderes. So kann etwa das Verzeichnis "D:\Win" auf "C:\Winnt\System32" verweisen, und ein Zugriff auf "D:\Win\Drivers" landet tatsächlich in "C:\Winnt\System32\Drivers". Beaumont weist darauf hin, daß sogar Nicht-Admins derartige Junctions im Systemlaufwerk C: anlegen dürfen.

Mit dem Aufruf des Befehls mklink /j c:\inetpub c:\windows\system32\notepad.exe legt er eine solche Verknüpfung der "notepad.exe" auf das Verzeichnis "inetpub" an. Sofern er diese Verknüpfung angelegt hat, schlägt die Installation der Windows-Updates aus dem April fehl. Das geht laut Beaumont auch künftigen Updates so, sofern Microsoft das Problem nicht zuvor löst. Die Installation schlägt fehl und löst gegebenenfalls ein Rollback aus. Am Ende stehen Betroffene ohne Sicherheitsupdates da. Dieses Verhalten könnten bösartige Akteure mißbrauchen. Kevin Beaumont hat Microsoft diesbezüglich den eigenen Angaben nach vor zwei Wochen kontaktiert, jedoch keine Rückmeldung erhalten.

Vergangene Woche fiel der oftmals neu auftauchende Ordner "C:\inetpub" auf Windows-Systemen auf, auf denen zuvor kein Microsoft-Webserver (Internet Information Server, IIS) aktiv war. Microsoft schrieb dazu: "Dieser Ordner sollte nicht gelöscht werden, unabhängig davon, ob Internetinformationsdienste (IIS) auf dem Zielgerät aktiviert sind. Dieses Verhalten ist Teil von Änderungen, die den Schutz erhöhen, und erfordert keine Aktion von IT-Administratoren und Endbenutzern."