Один mklink — и ты хакер: Windows теперь ломают без прав

Попытка Microsoft закрыть уязвимость в апрельских обновлениях Windows обернулась неожиданным побочным эффектом — теперь любой пользователь может намеренно заблокировать получение всех будущих обновлений операционной системы, включая критические патчи безопасности. И для этого даже не нужны права администратора.

CVE-2025–21204 (оценка CVSS: 7.8) позволяла злоумышленникам повышать привилегии в системе, используя символические ссылки в каталоге c:\inetpub. В рамках исправления Microsoft решила предустановить каталог на всех машинах, начиная с апрельского обновления Windows 10 и 11. Казалось бы, простое и безопасное решение: заранее создать папку , чтобы никто не мог её использовать в атаках. Однако реализовано оно было без учёта всех возможных сценариев поведения системы.

В результате оказалось, что новый подход открыл дверь для другой, более разрушительной уязвимости. Исследователь безопасности Кевин Бомонт обнаружил , что достаточно воспользоваться стандартной командой mklink /j для создания файловой переадресации (junction point) и направить папку c:\inetpub на любой системный файл. Он продемонстрировал это, связав команду с notepad.exe. После такой подмены любая попытка Windows Update обратиться к inetpub заканчивалась ошибкой, и обновления откатывались.

Например, файлом notepad.exe. Команда выглядит следующим образом:

mklink /j c:\inetpub c:\windows\system32\notepad.exe

Команда может быть выполнена в стандартной командной строке, запущенной через Win+R → cmd, без повышения привилегий. После выполнения этой команды каталог inetpub превращается в символическую ссылку, ведущую на исполняемый файл «Блокнота» или любую другую цель, выбранную пользователем.

Что происходит дальше — неочевидно с первого взгляда, но критически важно. Обновления Windows, начиная с апреля 2025 года, в процессе установки обращаются к каталогу inetpub, ожидая, что он является обычной папкой. Если же на его месте обнаруживается junction-ссылка, процесс обновления завершается с ошибкой. Некоторые обновления могут не устанавливаться вовсе, другие — завершаться откатом, а часть — «успешно» завершаться, но без внесения изменений в систему. Система может при этом даже не уведомить пользователя, что защита осталась на старом уровне.

Таким образом, обновления безопасности перестают работать. Причём не только текущее, но и все будущие, пока не будет устранена ссылка или пересоздан повреждённый каталог. Это создаёт идеальные условия для саботажа внутри организации, обхода политик безопасности или даже целенаправленного саботажа ИТ-инфраструктуры.

Уязвимость уже была передана в Microsoft Security Response Center (MSRC) около двух недель назад, но официальный ответ до сих пор не получен. Если компания признает наличие проблемы, ей придётся срочно менять способ предустановки inetpub или внедрять дополнительные проверки в процессе обновления системы.

На данный момент не существует официального временного решения. Единственным способом избежать воздействия новой уязвимости остаётся ручной контроль над структурой c:\inetpub и ограничение прав на её изменение. В корпоративных средах также может помочь внедрение систем контроля целостности и журналирования, фиксирующих любые изменения в корне системного диска.

Но до тех пор, пока Microsoft не выпустит новый апдейт, в Windows по умолчанию встроен механизм, с помощью которого любой пользователь, даже без прав администратора, может заблокировать путь к обновлениям и оставить систему без защиты.