Nếu bạn đã xóa thư mục “inetpub”, được tạo sau Bản cập nhật Windows tháng 4 năm 2025, bạn cần khôi phục ngay lập tức, nếu không hệ thống của bạn sẽ vẫn dễ bị tấn công bởi các mối đe dọa bảo mật tiềm ẩn. Microsoft đã nói với Windows Latest rằng thư mục có thể được khôi phục khi bạn bật dịch vụ IIS hoặc bạn cũng có thể sử dụng tập lệnh PowerShell mới được phát hành vào ngày 28 tháng 5.
Đối với những ai chưa biết, Windows 11 24H2 và các phiên bản Windows cũ hơn khác, bao gồm Windows 10, đã tạo một thư mục có tên là “inetpub” sau Bản cập nhật tháng 4 năm 2025. Thư mục trống này thường được liên kết với Dịch vụ thông tin Internet (IIS), đây là dịch vụ Windows gốc cho phép các nhà phát triển lưu trữ trang web hoặc ứng dụng trên Windows 11.
Trong trường hợp Windows 11, Microsoft đã tạo thư mục (C:\inetpub) với KB5055523 hoặc mới hơn, nhưng như bạn có thể thấy trong ảnh chụp màn hình ở trên, thư mục này không chứa bất cứ thứ gì và thuộc tính cho thấy thư mục không có byte dữ liệu nào.
Khi tôi kiểm tra cài đặt, IIS cũng không được bật. Thật không may, vì Microsoft chưa bao giờ thừa nhận rằng “inetpub” là một thay đổi cố ý trong ghi chú phát hành của mình, một số người trong chúng tôi cho rằng đó là lỗi của bản cập nhật tích lũy và đã xóa thư mục.
Những người khác xóa nó vì họ nghi ngờ cách làm việc của Microsoft, đặc biệt là việc tạo một thư mục để vá lỗi trong hệ điều hành khi thư mục đó có thể dễ dàng bị xóa, điều này khiến chúng ta tự hỏi đây là loại bản vá gì?
Microsoft sau đó đã cập nhật tài liệu của mình và thông báo với Windows Latest rằng thư mục “inetpub” được tạo như một phần của bản vá bảo mật cho CVE-2025-21204 và không quan trọng việc IIS có được bật hay không. Nó sẽ hiển thị và bạn không được phép xóa nó, và nếu bạn đã xóa nó, vui lòng khôi phục lại, theo Microsoft.
Microsoft lưu ý trong một tài liệu rằng: “Lỗi bảo mật CVE-2025-21204 là do sự cố giải quyết liên kết không đúng cách trước khi truy cập tệp (‘theo liên kết’) trong Windows Update Stack. Điều này có nghĩa là trên các thiết bị chưa được vá, Windows Update có thể theo các liên kết tượng trưng theo cách cho phép kẻ tấn công cục bộ đánh lừa hệ thống truy cập hoặc sửa đổi các tệp hoặc thư mục không mong muốn”.
Trước đây, Microsoft đã nói với Windows Latest rằng thư mục “inetpub” có thể được tạo lại với cùng mức độ bảo mật bằng cách bật Dịch vụ thông tin Internet (IIS) từ Bảng điều khiển > Chương trình > Chương trình & Tính năng > Bật hoặc tắt tính năng Windows.
Tuy nhiên, đó là điều mà hầu hết mọi người không muốn làm vì IIS cũng tạo thêm các thư mục khác, không cần thiết trừ khi bạn là nhà phát triển.
Hôm nay, Windows Latest phát hiện có một tập lệnh PowerShell mới có chức năng tạo lại thư mục và bạn không cần phải bật IIS nữa.
Microsoft đã phát hành tập lệnh này vào ngày 28 tháng 5 và sau đây là cách sử dụng nó.
Làm thế nào để sử dụng tập lệnh PowerShell để khôi phục “inetpub” và vá CVE-2025-21204?
1. Chạy PowerShell “với tư cách là Quản trị viên”. Bạn không thể thực hiện điều đó bằng tài khoản không phải quản trị viên vì chúng tôi đang cố gắng thay đổi ACL thư mục và cài đặt mô-đun. Những điều này yêu cầu quyền quản trị viên.
2. Trong PowerShell, trước tiên hãy cho phép các tập lệnh và mô-đun đã ký từ PowerShell Gallery của Microsoft bằng lệnh sau:
Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass
3. Để tải xuống tập lệnh từ thư viện PowerShell, hãy chạy lệnh:
Install-Script -Name Set-InetpubFolderAcl -Force
4. Trong một số trường hợp (như của tôi), bạn sẽ được yêu cầu cài đặt “
NuGet Provider ” khi nó không có. Chỉ cần trả lời “
Y ” để tiếp tục và chạy lại “
install-script ” ở trên.
5. Chạy “ Set-InetpubFolderAcl ” để áp dụng bản sửa lỗi và tạo thư mục. Nhưng nếu bạn gặp lỗi có nội dung “lệnh không tìm thấy”, hãy chạy theo đường dẫn đầy đủ:
& “C:\Program Files\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1”
Lệnh Install-Script hoạt động như thế nào?Windows Latest nhận thấy Install-Script kéo tệp .ps1 của tập lệnh vào thư mục tập lệnh PowerShell cục bộ của bạn (thường là C:\Program Files\Windows\PowerShell\Scripts) và bước thứ tư là bắt buộc để thực sự chạy tập lệnh.
Bạn có thực sự nên bận tâm đến “inetpub” không? Tôi khuyên bạn nên làm vậy. Nó phải có trên hệ thống của bạn. Theo Microsoft, nếu không có thư mục và ACL (Danh sách kiểm soát truy cập) chính xác, bạn vẫn có nguy cơ bị leo thang đặc quyền hoặc truy cập trái phép.
Bằng cách chạy tập lệnh Set-InetpubFolderAcl.ps1 mà tôi đã đánh dấu, bạn sẽ tạo lại thư mục và áp dụng các quyền theo kiểu IIS phù hợp để bản sửa lỗi CVE-2025-21204 trong Bản cập nhật tháng 4 năm 2025 thực sự có hiệu lực.
Theo windowslatest.com
