Eliminaste una carpeta — abriste una vulnerabilidad: Microsoft lanza el "remedio" para un fallo en la seguridad de Windows

Tras las actualizaciones de seguridad de abril de 2025 para Windows, los usuarios notaron un comportamiento extraño del sistema: aparecía una carpeta vacía en el directorio raíz, C:\inetpub, incluso en equipos donde nunca se había instalado el servidor web IIS. Esto generó confusión y una ola de eliminaciones de dicha carpeta “innecesaria”, lo que —como ahora se ha descubierto— abre una vulnerabilidad grave en el sistema.

Inicialmente, Microsoft explicó que la nueva carpeta fue creada como parte de la solución a un problema de escalada de privilegios (CVE-2025-21204) relacionado con el manejo incorrecto de enlaces simbólicos en el stack de actualizaciones de Windows. La vulnerabilidad permitía a usuarios locales con bajos privilegios realizar operaciones sobre archivos del sistema con permisos de NT AUTHORITY\SYSTEM — es decir, con el máximo nivel de acceso.

La carpeta inetpub se genera automáticamente con la actualización de seguridad y cuenta con permisos de acceso especiales. Aunque esté vacía, desempeña un papel clave en la protección del sistema contra la manipulación de enlaces durante las actualizaciones. El especialista Kevin Beaumont demostró que, sin protección adecuada, un usuario común puede crear un enlace simbólico desde C:\inetpub hacia cualquier objeto del sistema, interfiriendo con el funcionamiento de Windows Update.

Aun así, muchos usuarios consideraron la carpeta como un error y la eliminaron, especialmente en equipos sin IIS. Como resultado, la vulnerabilidad volvía a estar activa. Microsoft aclaró que la carpeta puede restaurarse manualmente instalando IIS a través del panel de control de Windows ("Activar o desactivar características de Windows"), tras lo cual inetpub se creará con los atributos necesarios. Luego puede desinstalarse IIS, pero la carpeta permanecerá — lo cual es esencial para la protección.

Para facilitar la tarea a los administradores y reducir el riesgo de errores, Microsoft publicó un script de PowerShell que permite restaurar los atributos adecuados sin necesidad de instalar ni eliminar IIS. El script Set-InetpubFolderAcl establece los permisos correctos para la carpeta inetpub y actualiza al mismo tiempo la lista de control de acceso (ACL) para el directorio DeviceHealthAttestation — otro componente afectado por la actualización de febrero de 2025.

El script puede ejecutarse con los siguientes comandos:

Install-Script -Name Set-InetpubFolderAcl
C:\Program` Files\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1

La empresa subraya que la carpeta inetpub debe mantenerse en el sistema, independientemente de si se utiliza IIS o no. No se trata de un error, sino de una medida de protección adicional que no requiere intervención por parte de los usuarios o administradores.

Microsoft actualizó el boletín referente a CVE-2025-21204, reiterando que eliminar la carpeta C:\inetpub reabre una vulnerabilidad en Windows. Aunque parezca inútil, cumple la función de barrera contra ataques que aprovechan enlaces simbólicos para acceder a recursos protegidos.

La creación y protección de esta carpeta forma parte de un rediseño arquitectónico destinado a reducir el riesgo de elevación de privilegios no autorizada y de interferencias en la integridad de las actualizaciones. Estos cambios son especialmente relevantes ante el creciente número de ataques que explotan debilidades locales en los mecanismos del sistema.