Windows Güvenlik Güncellemesi, Gelecekteki Yükseltmeleri Engellemek İçin Kötüye Kullanılabiliyor

Nisan ayında yayımlanan Windows güvenlik güncellemesi, yeni bir güvenlik açığını beraberinde getirdi. Microsoft’un yayımladığı bu güncelleme sonrasında, kullanıcıların sistem sürücülerinin kök dizininde “inetpub” adlı bir klasör oluşturulduğu görüldü. Normalde bu klasör, Internet Information Services (IIS) sunucusuna ait dosyaları barındırmak için kullanılırken, birçok cihazda IIS kurulu olmamasına rağmen klasörün oluşması dikkat çekti.

Microsoft, bu klasörün CVE-2025-21204 koduyla izlenen bir ayrıcalık yükseltme açığına karşı yapılan düzeltmenin parçası olduğunu duyurdu. Şirket, yayımladığı güvenlik tavsiyesinde “Bu klasör, koruma amacıyla oluşturuluyor ve silinmemelidir” açıklamasında bulundu.

Windows Güncelleme Sistemi, Klasör Yapısının Değiştirilmesiyle Sabote Edilebiliyor

Siber güvenlik uzmanı Kevin Beaumont, bu klasörün kötüye kullanılarak gelecekteki Windows güncellemelerinin engellenebileceğini ortaya çıkardı. Beaumont, yönetici yetkisi olmayan kullanıcıların bile belirli bir yöntemle sistemde bir bağlantı (junction) oluşturabileceğini gösterdi.

Bu işlem için aşağıdaki komut kullanılıyor:

mklink /j c:\inetpub c:\windows\system32\notepad.exe

Windows’ta “junction” adı verilen özel bağlantılar, klasörleri birbirine yönlendirmek için tasarlanmış olsa da, bu yöntemle bir dosyaya da yönlendirme yapılabiliyor. Beaumont, Windows güncelleme mekanizmasının C:\inetpub yolunda bir klasör beklediğini ancak bir dosya ile karşılaştığında işlemi tamamlayamadığını belirtti.

Bu yöntemle oluşturulan bağlantı sonrasında Nisan ayı güvenlik güncellemesi yüklenmeye çalışıldığında, 0x800F081F hata kodu alınıyor. Bu hata, “CBS_E_SOURCE_MISSING” yani “paket veya dosya bulunamadı” anlamına geliyor.

Kevin Beaumont, bulduğu güvenlik açığını Microsoft’a bildirdi. Şirket, yaptığı değerlendirme sonucunda bu durumu “orta” seviyede bir güvenlik sorunu olarak sınıflandırdı. Microsoft yetkilileri, “inetpub” klasörünün bir dosyaya yönlendirildiği durumlarda güncellemenin başarısız olduğunu ancak bağlantının kaldırılmasından sonra güncellemenin sorunsuz bir şekilde yüklendiğini ifade etti. Şirket, bu nedenle sorunu acil bir güncelleme ile düzeltmeyi planlamadığını belirtti.