Microsoft: Script PowerShell restaura pasta inetpub
Em junho de 2025, a Microsoft divulgou um novo script PowerShell destinado a restaurar a pasta inetpub, essencial para a segurança dos sistemas Windows. Essa pasta, que surgiu automaticamente após as atualizações de segurança de abril de 2025, desempenha um papel crucial na mitigação da vulnerabilidade de elevação de privilégios (CVE-2025-21204). Mesmo em sistemas que não possuem o serviço Internet Information Services (IIS) instalado, a criação desta pasta é parte integrante da proteção avançada.
A atualização de segurança de abril de 2025 criou uma pasta vazia na raiz do drive C:\\, denominada inetpub, mesmo em máquinas onde o IIS não estava previamente instalado. A intenção, conforme explicado pela Microsoft, é oferecer uma proteção adicional contra ataques que exploram a manipulação de links simbólicos e a elevação de privilégios. Contudo, alguns usuários, confusos com o aparecimento inesperado dessa pasta, optaram por removê-la, o que pode reabrir vetores de ataque críticos.
Tabela de conteúdos
O que é a pasta inetpub e por que ela é importante?
A pasta inetpub está historicamente associada ao Internet Information Services (IIS) e armazena dados e configurações necessárias para o funcionamento do servidor web da Microsoft. Mesmo que o IIS não esteja sendo utilizado, sua presença é fundamental para garantir que permissões e configurações de segurança estejam devidamente aplicadas. A ausência ou remoção desta pasta pode expor o sistema a riscos, especialmente diante da vulnerabilidade identificada sob o código CVE-2025-21204, a qual explora falhas no gerenciamento de links e na resolução de caminhos dentro do sistema.
Como o script PowerShell atua na restauração
A Microsoft disponibilizou um script PowerShell que automatiza o processo de reconstruir a pasta inetpub e ajustar os controles de acesso (ACLs) para que mantenham as permissões corretas. O script, que pode ser instalado e executado através do comando:
Install-Script -Name Set-InetpubFolderAcl
"C:\Program Files\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1"configura não só a pasta inetpub, mas também corrige as entradas do DeviceHealthAttestation em servidores Windows, garantindo uma proteção robusta contra a exploração da vulnerabilidade de elevação de privilégios. Assim, administradores de sistema encontram uma solução prática para restaurar a segurança imediatamente, sem a necessidade de procedimentos manuais complexos.
Os riscos de remover a pasta inetpub
Embora a pasta inetpub possa parecer desnecessária em sistemas sem a instalação do IIS, sua remoção pode deixar o sistema vulnerável a ataques. Experimentos conduzidos por especialistas em segurança demonstraram que a exclusão deste diretório possibilita que invasores com privilégios limitados executem um escalonamento de privilégios, aproveitando falhas no gerenciamento de permissões e na resolução de links simbólicos. Em casos extremos, isso pode permitir que atacantes obtenham controle do sistema atuando no contexto da conta NT AUTHORITY\SYSTEM.
O contexto da vulnerabilidade CVE-2025-21204
A vulnerabilidade CVE-2025-21204 origina-se de um problema na forma como o Windows Update trata links simbólicos. Em sistemas não atualizados, o Windows Update poderia seguir esses links de maneira incorreta, oferecendo aos atacantes a possibilidade de redirecionar operações de arquivo. Esse mecanismo, quando explorado, possibilita a manipulação ou exclusão de arquivos críticos, bem como a escalada de privilégios, comprometendo a integridade do sistema. A presença da pasta inetpub e a aplicação das permissões corretas atuam como uma barreira contra tais ataques.
Orientações para administradores e usuários
Para aqueles que não utilizam o IIS, a Microsoft orienta a não remover a pasta inetpub mesmo que ela permaneça vazia. Se a remoção já aconteceu, o uso do script restaurador é indispensável para garantir que as configurações de segurança sejam restabelecidas. Caso seja necessário, o serviço IIS pode ser temporariamente instalado através do painel de controle “Ativar ou desativar recursos do Windows”, o que automaticamente recria a pasta com os atributos corretos, e posteriormente removido novamente, se desejado, sem comprometer a segurança.
Além disso, a Microsoft reforçou que a atualização das ACLs é necessária não só para a pasta inetpub, mas também para diretórios relacionados, como o DeviceHealthAttestation em servidores. Essa medida assegura que, mesmo após atualizações subsequentes, as permissões apropriadas sejam mantidas, evitando falhas que possam ser exploradas por agentes maliciosos.
Impacto na comunidade e declaração oficial da Microsoft
Em comunicado, a Microsoft ressaltou que a criação automática da pasta inetpub faz parte de um conjunto de mudanças projetadas para aumentar a segurança sem exigir ações imediatas dos usuários ou administradores. Essa abordagem preventiva visa minimizar a exploração de vulnerabilidades conhecidas. Especialistas em segurança, como Kevin Beaumont, alertaram que a exclusão da pasta pode resultar na interrupção de futuras atualizações, comprometendo a integridade dos sistemas. Assim, a adoção do script restaurador é uma prática recomendada para manter todos os controles de segurança em vigor.
Perguntas Frequentes sobre
Por que a pasta inetpub é criada automaticamente?
A criação da pasta inetpub faz parte das atualizações de segurança de abril de 2025, que visam reforçar as medidas de proteção contra vulnerabilidades de elevação de privilégios, mesmo em sistemas que não utilizam o IIS.
Como o script PowerShell ajuda a restaurar a pasta?
O script reinstaura a pasta inetpub e ajusta as ACLs, recuperando as permissões corretas e garantindo que os controles de segurança não sejam comprometidos.
Quais os riscos de remover a pasta inetpub?
Remover a pasta pode deixar o sistema vulnerável a ataques de elevação de privilégios e manipulação de links simbólicos, permitindo que invasores obtenham acesso elevado ao sistema.
Com a implementação deste script, os administradores têm uma ferramenta rápida e eficaz para mitigar riscos associados à vulnerabilidade CVE-2025-21204 e manter a integridade dos sistemas Windows.
Considerações Finais
Em resumo, a Microsoft reforça a importância da pasta inetpub como um componente de segurança fundamental introduzido pelas atualizações de abril de 2025. Mesmo que a criação automática desta pasta gere dúvidas entre usuários não familiarizados com o funcionamento do IIS, a manutenção e restauração adequada através do script PowerShell são essenciais para prevenir possíveis ataques de elevação de privilégios. Administradores e usuários devem seguir as orientações oficiais e evitar a tentação de remover diretórios que, apesar de aparentemente desnecessários, desempenham um papel crucial na proteção do sistema.
Essa medida proativa demonstra o comprometimento da Microsoft em garantir um ambiente seguro, prevenindo que vulnerabilidades conhecidas sejam exploradas por atores maliciosos. Ao manter a pasta inetpub e utilizar o script fornecido, os profissionais de TI podem assegurar que os controles de segurança recomendados sejam aplicados de forma consistente, contribuindo para uma proteção robusta dos sistemas operacionais.
Ao adotar essa prática, toda a comunidade de TI e usuários finais se beneficia de um ambiente operacional mais seguro e resiliente, onde as atualizações de segurança podem ser aplicadas com confiança. Em última análise, a transparência e a orientação clara da Microsoft servem como um lembrete da importância de seguir as recomendações oficiais para manter a segurança digital em constante evolução.
