Le dossier « inetpub » est habituellement associé au serveur web ISS (Internet Information Services) disponible sur Windows. Dans le cadre du Patch Tuesday d'avril diffusé par Microsoft, ce dossier a été créé automatiquement, même sur les configurations où IIS n'est pas installé.
La présence du dossier vide au niveau de la racine du disque système (C:\inetpub) avait suscité l'étonnement, avec la tentation de procéder à une suppression manuelle jusqu'à la découverte d'explications de Microsoft.
Indépendamment de l'activation ou non d'IIS sur l'appareil Windows, Microsoft indique que ce dossier ne doit pas être supprimé. Il est en rapport avec la correction d'une vulnérabilité d'élévation de privilèges CVE-2025-21204.
Une possibilité de déni de service
Selon le chercheur en cybersécurité Kevin Beaumont, le patch introduit toutefois une vulnérabilité de type déni de service. Elle peut être exploitée pour faire barrage aux mises à jour de sécurité de Windows, y compris par des utilisateurs qui ne disposent pas de droits d'administrateur.
La faille repose sur la possibilité de créer un lien symbolique entre le dossier « C:\inetpub » et par exemple notepad.exe. Lors d'une tentative d'installation d'une mise à jour Windows, cela provoque un échec avec un code d'erreur pour indiquer qu'un élément est manquant.
Kevin Beaumont a signalé le problème à Microsoft. Il vient d'obtenir une réponse selon laquelle le problème est classé avec un niveau de dangerosité modéré. Pas de correction à prévoir dans l'immédiat, mais elle pourra être envisagée à l'avenir.
