早前藍點網提到微軟釋出的 202504 例行安全更新會在 Windows 11 24H2 版系統根目錄裡建立名為 intepub 的空資料夾,如果使用者安裝 KB5055523 更新就會注意到這個空資料夾。
這個資料夾是微軟 Internet 資訊服務 (IIS) 建立的,原本我們猜測是這個空資料夾可能是微軟出現某種失誤或者在更新過程中臨時啟用 IIS 服務導致的,本身是空資料夾那隨手刪除就行反正也不會產生什麼影響。
只是萬萬沒想到建立這個空資料夾是微軟有意為之並非失誤,事實上這個空資料夾還牽涉到 Windows 11 系統安全問題,現在被刪除後還不能直接手動建立,因為存在許可權方面的問題使用者必須透過啟用 IIS 來自動建立這個資料夾。
可能微軟也沒想到大家對於系統根目錄出現陌生資料夾如此在意,所以微軟在更新日誌中也沒有提到這個問題,考慮到刪除後影響系統安全所以微軟又更新日誌添加了這個資料夾的說明。
微軟在補充的更新日誌中表示:
安裝 KB5055523 或更高版本的更新後,裝置會建立 %SYSTEMDRIVE%\inetpub 資料夾,無論裝置是否啟用 IIS 服務都不應該刪除這個資料夾,建立這個資料夾屬於增強保護措施,無需 IT 管理員或使用者採取任何措施。有關更多資訊請參閱 CVE-2025-21204。
漏洞說明:
CVE-2025-21204 是關於 Windows NT 更新堆疊中的檔案訪問 (連結跟蹤) 中不正確連結解析允許授權攻擊者在本地提升許可權的漏洞,成功利用該漏洞且經過身份驗證的攻擊者可以在 NT AUTHORITY\SYSTEM 賬戶的上下文執行和 / 或操縱目標計算機上的檔案管理。
從漏洞說明也可以看到這個空資料夾還涉及到連結跟蹤問題因此使用者並不能簡單地重新建立 inetpub 資料夾來執行恢復,相反使用者應當透過啟用 IIS 服務使其自動建立具有相關許可權的資料夾以封堵漏洞保護系統安全。
下面是具體操作步驟:
1. 工作列搜尋框輸入 控制面板 並開啟
2. 在控制面板裡開啟程式、開啟或關閉 Windows 功能
3. 在這裡勾選 IIS 服務 (Internet Information Services) 並點選確定
4. 等待 1 分鐘左右 IIS 服務會完成安裝,此時會自動建立 intepub 資料夾
