Il y a quelques semaines, nous avons signalé qu’un mystérieux dossier appelé «Inetpub» est apparu sur de nombreux PC Windows après l’installation de l’une des mises à jour d’avril. L’impression initiale était qu’il s’agissait d’un bug, car le dossier était vide et n’a apparemment servi aucune fonction.
Microsoft a expliqué plus tard que le dossier INETPUB est important pour la sécurité de Windows car il a été créé pour corriger la vulnérabilité CVE-2025-21204. En bref, le dossier est là pour augmenter la sécurité du système en empêchant la vulnérabilité d’être exploitée.
Cependant, ce dossier même destiné à vous protéger provoque maintenant un nouveau problème de sécurité, car les attaquants peuvent apparemment l’utiliser pour contourner les mises à jour de sécurité sous Windows. Le chercheur en sécurité Kevin Beaumont l’a découvert et a mis en garde contre cela dans un article de blog.
Risque de sécurité causé par un dossier inoffensif
Selon Beaumont, il est possible d’empêcher la création du dossier Inetpub en créant un point de jonction dans le répertoire C:. Dans Windows, un point de jonction est un alias qui redirige un répertoire vers un autre (ou essentiellement comme un raccourci). Dans son exemple, Beaumont a créé une jonction à C:/inetpub pointant vers notepad.exe.
Une fois ce point de jonction réalisé, le dossier INETPUB réel ne peut plus être créé. Cela empêche également l’installation de la mise à jour d’avril et potentiellement toutes les autres mises à jour de sécurité tant que Microsoft ne fournit pas de solution à ce problème. Les PC affectés seraient alors vulnérables aux autres défauts de sécurité qui ont déjà été fixés.
Beaumont montre que cela peut également conduire à un va-et-vient constant de messages d’erreur et de tentative de recul lors de l’installation de mises à jour – et les attaquants n’ont même pas besoin de privilèges élevés pour déclencher le problème.
La découverte a déjà été signalée à Microsoft, mais il n’y a pas eu encore de réponse. On ne sait pas si Microsoft travaille sur une solution, mais au moins ils devraient être conscients du problème.
