Mediumはこのほど、「Microsoft’s patch for CVE-2025–21204 symlink vulnerability introduces another symlink vulnerability|by Kevin Beaumont|Apr, 2025|DoublePulsar」において、Microsoftの不完全な脆弱性の修正について伝えた。

この脆弱性は「CVE-2025-21204」として追跡されているもので、不適切なリンクの解決により攻撃者が不正に特権を昇格する可能性がある。この脆弱性は4月のセキュリティ更新プログラムにより修正されたが、今回この修正が別の脆弱性の引き金になることが明らかになった。

  • Microsoft’s patch for CVE-2025–21204 symlink vulnerability introduces another symlink vulnerability|by Kevin Beaumont|Apr、2025|DoublePulsar

    Microsoft’s patch for CVE-2025–21204 symlink vulnerability introduces another symlink vulnerability|by Kevin Beaumont|Apr, 2025|DoublePulsar

inetpubフォルダを悪用

Windowsに4月のセキュリティ更新プログラムをインストールすると、Cドライブ直下に空の「inetpub」フォルダが作成される。このフォルダは発見当初、目的がわからないとしてさまざまな憶測を呼び、削除しても問題ないとの情報も散見された。

しかしながら、その後の調査でセキュリティ対策の一環として意図的に作成されたことが明らかになり、削除しないよう呼びかけが行われた(参考:「Windows 11のinetpubフォルダを削除してはダメ、4月8日の更新で作成される謎のフォルダ | TECH+(テックプラス)」)。

ところが今回、このinetpubフォルダを悪用することで、4月以降のすべてのWindows更新プログラムを無力化できることが明らかになった。Mediumによると、管理者を含むすべてのユーザーは次のコマンドを入力することで、4月以降の更新プログラムを無力化できるという。

  • mklink /j c:\inetpub c:\windows\system32\notepad.exe

このコマンドはディレクトリージャンクションの作成を指示するもので、inetpubをnotepad.exeにリンクする。リンク先はnotepad.exeに限らず別のファイルでも問題ないと予想されるが、このコマンドを実行すると以降の更新プログラムのインストールが失敗するようになる。

この新しい脆弱性は更新プログラムのインストールを自動化しているシステムに影響があると予想される。脆弱性の発見者は記事掲載の2週間前までにMicrosoftに報告したが、回答は得られなかったと説明している。Microsoftには速やかな情報公開と対策の実施が望まれている。