Non avreste dovuto cancellare la cartella inetpub: ecco lo script Microsoft per ripristinarla

Ad aprile 2025, dopo l’installazione degli aggiornamenti per Windows rilasciati da Microsoft, in molti si sono accorti della comparsa della cartella inetpub nell’unità di sistema C:. Di primo acchito è parsa un’anomalia perché sui sistemi in cui Internet Information Services (IIS) non risulta installato, la cartella inetpub non dovrebbe essere assolutamente necessaria. Eppure, Microsoft ha chiarito che la cartella inetpub rappresenta una misura di sicurezza per contrastare una grave vulnerabilità nel meccanismo di aggiornamento di Windows.

Già in un precedente articolo avevamo sottolineato di non cancellare la cartella inetpub introdotta con gli aggiornami di aprile 2025. La semplice presenza della directory in questione contribuisce alla protezione del sistema operativo, anche in assenza di servizi Web attivi.

CVE-2025-21204: una vulnerabilità da escalation di privilegi

La vulnerabilità in questione, gestita da Microsoft proprio con l’aggiunta della cartella inetpub dotata dei privilegi corretti, riguarda una cattiva gestione dei collegamenti simbolici (symbolic links) da parte dello stack di Windows Update. Sui sistemi non aggiornati, un attaccante locale con privilegi limitati può creare un collegamento simbolico che indirizza Windows Update verso directory o file arbitrari. Il risultato? Agendo con i privilegi dell’account NT AUTHORITY\SYSTEM, un aggressore può sovrascrivere o manipolare file sensibili, acquisendo il più ampio ventaglio di privilegi.

Con la cartella inetpub già esistente e ben protetta, un attaccante non può più crearla in modo arbitrario e deviare il comportamento di Windows Update e di altri servizi di sistema.

Rischi derivanti dalla rimozione della cartella

La rimozione di C:\inetpub ripristina il vettore di attacco precedentemente mitigato con le patch di aprile 2025. In assenza della directory, un utente dotato di privilegi minimi potrebbe:

• Creare la cartella manualmente.
• Impostare un collegamento simbolico tra C:\inetpub e un’altra directory di sistema.
• Indurre Windows Update o altri servizi a scrivere nel percorso sbagliato, con effetti potenzialmente devastanti per la sicurezza del sistema.

Come dimostrato anche da esperti come Kevin Beaumont, è possibile bloccare l’intero processo di aggiornamento di Windows sfruttando questo meccanismo.

Ripristinare la cartella inetpub in Windows nel caso in cui l’aveste cancellata

Per rispondere alle segnalazioni di utenti e amministratori che, inconsapevoli del suo scopo, avevano rimosso la cartella C:\inetpub dopo gli aggiornamenti di sicurezza di aprile 2025, Microsoft ha rilasciato uno script PowerShell dedicato al ripristino, denominato Set-InetpubFolderAcl.ps1.

Lo script, scaricabile e installabile tramite il comando Install-Script -Name Set-InetpubFolderAcl impartito da una finestra PowerShell aperta con i diritti di amministratore, automatizza il ripristino della cartella inetpub con le ACL (Access Control List) corrette, assicurando la mitigazione continua della vulnerabilità CVE-2025-21204.

La funzione principale dello script consiste nell’assicurare che la cartella sia automaticamente ricreata con le proprietà di sistema (SYSTEM ownership) e permessi restrittivi, impedendo qualsiasi accesso in scrittura o manipolazione da parte di utenti sprovvisti dei privilegi amministrativi.

Il file PowerShell rilasciato da Microsoft utilizza apposite cmdlet per creare la directory (se mancante) e applicare un set ben definito di regole di accesso, configurando la discretionary access control list (DACL) per bloccare ogni tentativo di interferenza da parte di utenti locali non autorizzati.

In ambito server, inoltre, lo script interviene anche sulla directory DeviceHealthAttestation, un altro percorso sensibile introdotto con gli aggiornamenti di febbraio 2025, garantendo che anch’essa sia protetta contro attacchi di tipo path traversal e privilege escalation.

Microsoft fornisce agli amministratori una soluzione affidabile, scalabile e conforme alle best practice di hardening del file system, riducendo il rischio che configurazioni errate o modifiche involontarie compromettano la sicurezza del sistema operativo.

Come usare lo script Microsoft per il ripristino della directory inetpub

Per avviare lo script Microsoft, quindi, suggeriamo di premere Windows+X, scegliere Windows PowerShell (amministratore) o Terminale (Admin) quindi digitare quanto segue:

md c:\script
cd /d c:\script
Install-Script -Name Set-InetpubFolderAcl
Set-InetpubFolderAcl.ps1

La cartella C:\inetpub può non esistere sia perché l’avete già cancellata, ma anche se non aveste ancora provveduto con l’installazione degli aggiornamenti Microsoft di aprile 2025.