Microsoft เผยแพร่สคริปต์ PowerShell เพื่อช่วยกู้คืนโฟลเดอร์ 'inetpub' ที่ว่างเปล่า ซึ่งถูกสร้างขึ้นโดยการอัปเดตความปลอดภัยของ Windows ในเดือนเมษายน 2025 หากถูกลบออกไป โดย Microsoft ได้เตือนไว้ก่อนหน้านี้แล้วว่าโฟลเดอร์นี้ช่วยลดความเสี่ยงจากช่องโหว่ความปลอดภัยระดับสูงในเรื่องการยกระดับสิทธิ์ของ Windows Process Activation
ในเดือนเมษายน หลังจากที่ผู้ใช้งานติดตั้งการอัปเดตความปลอดภัยใหม่แล้ว ผู้ใช้ Windows จะพบว่ามีโฟลเดอร์ C:\Inetpub ถูกสร้างขึ้นมาโดยไม่มีเนื้อหาใด ๆ โดยโฟลเดอร์นี้เกี่ยวข้องกับ Internet Information Services (IIS) ของ Microsoft ทำให้ผู้ใช้หลายคนสับสนว่าทำไมโฟลเดอร์นี้จึงถูกสร้างขึ้นทั้ง ๆ ที่ไม่ได้ติดตั้งเว็บเซิร์ฟเวอร์ไว้
ส่งผลให้บางคนลบโฟลเดอร์นี้ออกไป ซึ่งทำให้เครื่องของผู้ใช้งานกลับไปมีความเสี่ยงต่อช่องโหว่ที่ได้รับการแก้ไขแล้วอีกครั้ง Microsoft ระบุว่า ผู้ใช้ที่ลบโฟลเดอร์นี้ไปแล้วสามารถสร้างขึ้นใหม่ได้ด้วยตนเอง โดยการติดตั้ง Internet Information Services (IIS) จาก control panel ในส่วน "Turn Windows Features on or off" ของ Windows
เมื่อทำการติดตั้ง IIS แล้ว ระบบจะสร้างโฟลเดอร์ inetpub ใหม่ที่ไดรฟ์ C:\ พร้อมกับไฟล์ต่าง ๆ และกำหนดสิทธิ์ความเป็นเจ้าของโดย SYSTEM เช่นเดียวกับไดเรกทอรีที่ถูกสร้างขึ้นโดยการอัปเดตความปลอดภัยของ Windows ประจำเดือนเมษายนที่ผ่านมา นอกจากนี้ หากคุณไม่ได้ใช้งาน IIS คุณก็สามารถถอนการติดตั้งได้โดยทำผ่าน control panel ของ Windows Features ที่จากเดิมเพื่อลบออก แต่จะยังคงเหลือโฟลเดอร์ C:\inetpub ไว้
เมื่อวันพุธที่ 04 มิถุนายน ที่ผ่านมา ในอัปเดตล่าสุด Microsoft ได้ให้คำแนะนำสำหรับช่องโหว่ CVE-2025-21204 โดยได้เผยแพร่สคริปต์สำหรับแก้ไขปัญหา เพื่อช่วยให้ผู้ดูแลระบบสามารถสร้างโฟลเดอร์นี้ขึ้นมาใหม่จาก PowerShell ได้ โดยใช้คำสั่งดังต่อไปนี้ :
ตามที่ Microsoft ได้อธิบายว่า สคริปต์ดังกล่าวจะทำการตั้งค่าสิทธิ์การเข้าถึงของ IIS ที่ถูกต้อง เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต และลดความเสี่ยงที่อาจเกิดขึ้นจากช่องโหว่ CVE-2025-21204
นอกจากนี้ สคริปต์ดังกล่าวยังอัปเดตรายการ Access Control List (ACL) สำหรับไดเรกทอรี DeviceHealthAttestation บนระบบ Windows Server อีกด้วย เพื่อให้แน่ใจว่ามีความปลอดภัย หากไดเรกทอรีดังกล่าวถูกสร้างขึ้นโดยการอัปเดตความปลอดภัยของเดือนกุมภาพันธ์ 2025 ที่ผ่านมา
Microsoft เตือน "อย่าลบมันทิ้ง"
ช่องโหว่ด้านความปลอดภัย (CVE-2025-21204) ที่ได้รับการลดความเสี่ยงโดยโฟลเดอร์ inetpub นี้ (ซึ่งถูกสร้างขึ้นโดยอัตโนมัติจากการอัปเดตความปลอดภัยในเดือนเมษายนที่ผ่านมา แม้บนระบบที่ไม่ได้ติดตั้ง IIS web server มาก่อน) มีสาเหตุมาจากปัญหาการจัดการลิงก์ที่ไม่เหมาะสม (improper link resolution) ใน Windows Update Stack
ซึ่งน่าจะหมายความว่า Windows Update อาจจะติดตาม symbolic links ในอุปกรณ์ที่ไม่ได้ทำการอัปเดตในลักษณะที่ผู้โจมตีในระบบสามารถหลอกให้ระบบปฏิบัติการเข้าถึง หรือแก้ไขไฟล์ และโฟลเดอร์ที่ไม่ควรเข้าถึงได้
Microsoft ระบุว่า หากถูกโจมตีได้สำเร็จจะช่วยให้ผู้โจมตีที่มีสิทธิ์ในระดับต่ำสามารถยกระดับสิทธิ์ของตนเอง และจัดการ หรือดำเนินการเกี่ยวกับไฟล์ในบริบทของบัญชี NT AUTHORITY\SYSTEM ได้ ซึ่งเป็นบัญชีที่มีสิทธิ์สูงสุดในระบบ
แม้ว่าการลบโฟลเดอร์นี้จะไม่ทำให้เกิดปัญหาในการใช้งาน Windows แต่ Microsoft ได้แจ้งกับ BleepingComputer ว่า โฟลเดอร์นี้ถูกสร้างขึ้นโดยเจตนา และไม่ควรถูกลบออกไป ทาง Microsoft ได้ออกคำเตือนแบบเดียวกันในคำแนะนำที่อัปเดตสำหรับช่องโหว่ความปลอดภัย CVE-2025-21204 เพื่อเตือนผู้ใช้ไม่ให้ลบโฟลเดอร์ %systemdrive%\inetpub ที่ว่างเปล่านี้
Microsoft เตือนว่า "โฟลเดอร์นี้ไม่ควรถูกลบ ไม่ว่าระบบจะเปิดใช้งาน Internet Information Services (IIS) อยู่หรือไม่ก็ตาม ลักษณะการทำงานนี้เป็นส่วนหนึ่งของการปรับปรุงเพื่อเพิ่มการป้องกัน และไม่จำเป็นต้องให้ผู้ดูแลระบบ IT หรือผู้ใช้ ดำเนินการใด ๆ"
นอกจากนี้ Kevin Beaumont ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ยังได้แสดงให้เห็นว่า ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบ (non-admin) สามารถใช้ประโยชน์จากโฟลเดอร์นี้ เพื่อขัดขวางการติดตั้งอัปเดตของ Windows ได้ โดยการสร้าง junction ระหว่าง C:\inetpub กับไฟล์ระบบใด ๆ ของ Windows
ที่มา : bleepingcomputer
You must be logged in to post a comment.