Windows e la cartella inetpub: come un aggiornamento di sicurezza può esporre il sistema a nuovi rischi
Nel mondo della sicurezza informatica, ogni correzione a una vulnerabilità può nascondere insidie inattese. È quanto sta accadendo con l’ultima patch di sicurezza di Windows (CVE-2025-21204), che ha introdotto nei sistemi degli utenti una misteriosa cartella denominata inetpub nella directory principale del disco, generando perplessità e allarmi nella comunità tecnica.
Cos’è la cartella inetpub e perché è comparsa sui PC Windows
La cartella inetpub è tradizionalmente associata a Internet Information Services (IIS), il server web di Microsoft, e viene normalmente generata solo quando si installa questo componente. Tuttavia, dopo l’aggiornamento di aprile 2025, la cartella è apparsa anche sui sistemi che non hanno mai usato IIS, spesso vuota e senza spiegazioni chiare da parte di Microsoft.
L’azienda ha dichiarato che la creazione della cartella non è casuale, ma parte integrante delle modifiche mirate a rafforzare la sicurezza del sistema operativo. Microsoft ha raccomandato agli utenti di non eliminare la cartella inetpub, indipendentemente dal fatto che IIS sia attivo o meno, sottolineando che la nuova configurazione non necessita azioni specifiche da parte di amministratori o utenti finali.
La vulnerabilità CVE-2025-21204: cosa risolve la patch
La patch mira a correggere una vulnerabilità nella gestione dei collegamenti simbolici (“link following”) all’interno dello stack di Windows Update. In assenza della correzione, un utente locale con privilegi limitati potrebbe sfruttare la vulnerabilità per indurre il sistema ad accedere, modificare o eseguire file e cartelle in modo scorretto, potenzialmente ottenendo l’elevazione dei privilegi fino al livello di NT AUTHORITY\SYSTEM.
Il rischio, quindi, era reale: un attaccante poteva guadagnare un controllo quasi totale della macchina, semplicemente manipolando il modo in cui Windows Update seguiva i collegamenti simbolici tra file e cartelle.
Il problema della correzione: chiunque può bloccare gli aggiornamenti futuri
La situazione si complica, però, con l’implementazione della patch. La cartella inetpub viene ora creata con privilegi di sistema (SYSTEM), il che garantisce teoricamente una protezione contro modifiche malevole. Tuttavia, si è scoperto che anche utenti non amministratori possono sfruttare la presenza della cartella per impedire l’installazione di aggiornamenti futuri.
Questa tecnica di blocco si basa sulla possibilità di creare, eliminare o manipolare la cartella inetpub in modo che i successivi tentativi di aggiornamento vadano in errore, lasciando il sistema vulnerabile a nuove minacce. Si tratta di una potenziale escalation dei privilegi inversa: una soluzione pensata per proteggere, che può invece essere sfruttata da un malintenzionato per garantire che il sistema resti indietro con le patch e quindi più esposto.
Le raccomandazioni di Microsoft e la mancanza di trasparenza
Microsoft, pur avendo aggiornato la documentazione ufficiale, non ha fornito spiegazioni dettagliate sulle motivazioni tecniche dietro la creazione della cartella, né sulle possibili conseguenze di una sua eliminazione manuale. L’unica certezza è l’insistenza dell’azienda: non toccate la cartella, anche se non usate IIS o servizi web locali.
Questa mancanza di trasparenza ha alimentato sospetti e teorie nella comunità, che si chiede se la cartella non sia destinata a ospitare in futuro funzionalità ancora sconosciute o se possa rappresentare un canale per operazioni non dichiarate di telemetria o di altro tipo.
Rischi reali: come un utente può bloccare o manipolare la sicurezza del sistema
Il vero pericolo, emerso dalle analisi degli esperti, è che chiunque abbia accesso anche limitato a un sistema patchato possa impedire l’applicazione di futuri aggiornamenti, semplicemente sfruttando la presenza o la configurazione della cartella inetpub. Questo scenario è particolarmente critico in ambienti aziendali, dove la gestione centralizzata degli update è fondamentale per garantire la sicurezza dell’intero parco macchine.
Un attaccante o un insider con motivazioni malevole potrebbe bloccare intenzionalmente la manutenzione di sistemi cruciali, lasciando aperte porte a nuove vulnerabilità. Non solo: l’incertezza sulle effettive funzioni della cartella e sulle modalità corrette di gestione rende difficile predisporre contromisure efficaci da parte degli amministratori di sistema.
Cosa devono fare utenti e amministratori: suggerimenti e consigli pratici
Di fronte a questa situazione, occorre un approccio prudente e consapevole. Ecco alcune raccomandazioni operative:
- Non eliminare la cartella
inetpub: anche se vuota, la sua presenza potrebbe essere richiesta per i futuri aggiornamenti di sicurezza. - Monitorare la cartella regolarmente: verificare che non vengano modificati i permessi, che non vi siano file sospetti o link simbolici non autorizzati all’interno della directory.
- Limitare l’accesso alla cartella: utilizzare strumenti di gestione delle autorizzazioni per assicurarsi che solo NT AUTHORITY\SYSTEM abbia pieno controllo sulla cartella.
- Configurare policy di gruppo (GPO): in ambienti aziendali, valutare l’impostazione di policy che impediscano la modifica della cartella da parte degli utenti non amministratori.
- Verificare la coerenza degli aggiornamenti: monitorare che le patch future vengano applicate correttamente e che eventi di errore relativi a
inetpubvengano segnalati tempestivamente. - Formare gli utenti: informare il personale tecnico e gli utenti più esperti sulle implicazioni della presenza della cartella, per evitare modifiche accidentali o azioni non conformi.
- Usare strumenti di auditing: abilitare il log degli accessi e delle modifiche alla cartella, così da poter risalire rapidamente a eventuali tentativi di manipolazione.
Come ripristinare la cartella inetpub se eliminata per errore
Se la cartella dovesse essere eliminata accidentalmente, è possibile ripristinarla tramite il pannello “Attiva o disattiva funzionalità Windows”, installando (e poi eventualmente rimuovendo) IIS. Questo processo ricrea la cartella con gli stessi privilegi di sistema richiesti. Tuttavia, resta consigliato non procedere se non per necessità specifiche, poiché i dettagli sul funzionamento interno della patch restano poco trasparenti.
L’apparizione della cartella inetpub dopo l’ultimo aggiornamento di Windows dimostra quanto la complessità della sicurezza informatica possa portare a conseguenze impreviste. Una modifica pensata per chiudere una vulnerabilità critica può generare, se non gestita e comunicata al meglio, nuove superfici di attacco e incertezze tra utenti e amministratori.
Finché Microsoft non fornirà chiarimenti più dettagliati, la strategia migliore resta la prudenza: non eliminare la cartella, monitorarla attivamente e prepararsi a intervenire in caso di anomalie. In un panorama informatico sempre più dinamico e complesso, la vigilanza costante rimane la prima linea di difesa contro rischi vecchi e nuovi.
