Im April 2025 sorgte ein Windows-Sicherheitsupdate für Aufsehen, da es auf den ersten Blick eine ungewöhnliche Nebenwirkung mit sich brachte: Die Erstellung eines neuen inetpub-Ordners direkt im Root-Verzeichnis des Systemlaufwerks. Dieses Verhalten weckte schnell die Aufmerksamkeit von IT-Experten und Sicherheitsspezialisten, da der Ordner ansonsten hauptsächlich im Zusammenhang mit dem Internet Information Services (IIS) Webserver bekannt ist, welcher auf vielen Geräten jedoch gar nicht aktiv ist. Bei genauerer Betrachtung zeigte sich, dass Microsoft diesen Ordner explizit als Teil der Behebung einer „Windows Process Activation“ Berechtigungseskalationslücke eingeführt hat. Doch trotz dieser scheinbaren Sicherheitsmaßnahme verbirgt sich dahinter eine Schwachstelle, die sogar zum Nachteil der Nutzer ausgenutzt werden kann. Der Sachverhalt begann mit der Veröffentlichung der monatlichen Patch Tuesday Updates, die wie üblich eine Vielzahl von Sicherheitslücken schließen sollten.
Nach Installation berichteten Anwender von der plötzlichen Erstellung des Ordners C:\inetpub, der ausschließlich vom SYSTEM-Konto verwaltet wird. Microsoft bestätigte daraufhin, dass der Ordner aus Sicherheitsgründen neu angelegt wurde und riet dringend davon ab, ihn zu löschen – selbst auf Systemen ohne IIS-Installation. Die Begründung lautete, der Ordner sei Teil erhöhter Schutzmaßnahmen und stelle keinen Anlass für Administratoren oder Endanwender dar, eingreifen zu müssen. Diese Aussage wurde jedoch bald von einer neuen Erkenntnis überschattet. Der bekannte Cybersicherheitsexperte Kevin Beaumont entdeckte, dass die Existenz dieses Ordners bei unsachgemäßer Handhabung eine Denial-of-Service-Situation auf dem Windows-Update-System verursachen kann.
Selbst ohne Administratorrechte ist es einem Angreifer möglich, eine sogenannte Junction zwischen dem inetpub-Ordner und einer beliebigen Datei, etwa der Notepad.EXE, zu erstellen. Junctions sind spezielle Symbolische Verknüpfungen im Dateisystem, die normalerweise Ordner auf andere Ordner verweisen lassen – in diesem Fall wird jedoch ein Ordner auf eine Datei verlinkt. Dies widerspricht der üblichen Definition, ist aber mit entsprechenden Befehlen unter Windows dennoch realisierbar. Die absichtliche Umleitung von C:\inetpub auf eine Systemdatei verursacht Komplikationen im Windows-Service-Prozess zum Einspielen von Updates.
Konkret erwarten die Update-Mechanismen, dass %systemdrive%\inetpub ein echter Ordner und keine Verknüpfung auf eine einzelne Datei sei. Bei Abweichung schlägt der Installationsvorgang fehl und verursacht den Fehlercode 0x800F081F. Dieser Code weist darauf hin, dass eine benötigte Quelle oder Datei fehlt, was wiederum die erfolgreiche Durchführung von Sicherheitsupdates verhindert. Ein solcher Zustand birgt erhebliche Risiken, da die schützenden Maßnahmen des Patch Tuesday wirkungslos bleiben und das System anfällig für bereits geschlossene Sicherheitslücken bleibt. Die Tatsache, dass der Angriff bereits von Anwendern ohne Adminrechte ausführbar ist, verstärkt die Dringlichkeit, diesen Fehler zu adressieren.
Microsoft stuft die Schwachstelle bislang als mittelgroßes Problem ein, da der Fehler eine bewusste und gezielte Manipulation des inetpub-Ordners voraussetzt und durch das Entfernen der fehlerhaften Junction bisher abgefangen werden kann. Dennoch geben Experten zu bedenken, dass Angriffe auf die Update-Infrastruktur einer der gefährlichsten Angriffsvektoren für Windows-Systeme sind. Wird die Update-Funktionalität blockiert, bleiben Rechner und Netzwerke dauerhaft gefährdet. Administratoren sollten über die möglichen Risiken informiert sein und routinemäßig überprüfen, ob der inetpub-Ordner unversehrt und nicht durch Junctions manipuliert wurde. Die Verwaltung von Junctions durch User ohne Adminrechte kann ein Indikator für nicht autorisierte Zugriffe oder versuchte Sabotage sein, weshalb erhöhte Überwachung empfehlenswert ist.
Parallel dazu empfiehlt sich eine enge Beobachtung der von Microsoft veröffentlichten Sicherheitsupdates hinsichtlich möglicher Fixes zu diesem Thema. Noch ist nicht eindeutig, wann oder ob Microsoft die Problematik mit einem eigenen Patch adressieren wird, doch die Diskussionen in der Sicherheitsszene verdeutlichen die Wichtigkeit solcher Beschwerden. Für Unternehmen unterliegt die Funktionsfähigkeit der Update-Mechanismen unter Umständen internen Compliance-Anforderungen. Das Bewusstsein für mögliche Schwachstellen wie jene im inetpub-Ordner muss daher in IT- und Sicherheitsrichtlinien aufgenommen werden. Neben der Prävention ist auch eine zeitnahe Reaktion im Falle des Auftretens essenziell.
Nutzer sollten im Zweifel eine manuelle Prüfung der vorhandenen Ordnerstruktur durchführen und Junctions, die untypisch erscheinen oder auf Dateien statt auf Verzeichnisse verweisen, entfernen. Auch wenn dies teilweise Eingriffe ins System erfordert, kann dadurch die Kontinuität der Sicherheitsupdates gewährleistet werden. Insgesamt zeigt der inetpub-Vorfall einmal mehr, wie komplex die Wartung moderner Betriebssysteme ist und wie neue Maßnahmen oft auch ungewollte Nebeneffekte mit sich bringen. Die Entwicklung von Sicherheitspatches muss stets mit besonderer Sorgfalt erfolgen, denn jede Änderung im System kann verschiedene Komponenten unerwartet beeinflussen. Die vielschichtige Struktur von Windows mit seinen zahlreichen Schnittstellen birgt dabei stets das Risiko, dass selbst offizielle Updates neue Probleme generieren.
