Gli utenti di Windows 10 e Windows 11 hanno recentemente notato la comparsa di una misteriosa cartella vuota denominata “inetpub” nella directory principale del loro disco di sistema dopo l’installazione degli ultimi aggiornamenti cumulativi di sicurezza rilasciati da Microsoft ad aprile. La cartella, normalmente associata al servizio Internet Information Services (IIS), sta apparendo anche su sistemi dove tale componente non è mai stato installato, generando confusione.
Abbiamo verificato direttamente il fenomeno, e anche sui nostri sistemi (Windows 11) l’aggiornamento cumulativo crea effettivamente la cartella utilizzando l’account di sistema SYSTEM. Ne abbiamo parlato a questa pagina, dove abbiamo scritto che è “possibile eliminarla senza conseguenze” e che “la cartella non risulta protetta da permessi speciali e può essere gestita come qualsiasi altra cartella presente sul computer”. L’eliminazione della directory non sembra compromettere il funzionamento del sistema operativo, tuttavia Microsoft ha esplicitamente raccomandato di non rimuoverla.
Windows e la misteriosa cartella inetpub: l’avviso ufficiale di Microsoft
Il colosso di Redmond ha aggiornato la documentazione relativa alla vulnerabilità di sicurezza CVE-2025-21204, chiarendo la posizione ufficiale sulla questione. “Dopo aver installato gli aggiornamenti elencati nella tabella Aggiornamenti di sicurezza per il tuo sistema operativo, verrà creata una nuova cartella %systemdrive%\inetpub sul tuo dispositivo”, ha dichiarato Microsoft nel bollettino aggiornato. L’azienda ha specificato che “questa cartella non deve essere eliminata indipendentemente dal fatto che Internet Information Services (IIS) sia attivo sul dispositivo di destinazione”. I motivi non sono chiari, visto che l’azienda ha solo sottolineato che “questo comportamento fa parte delle modifiche che aumentano la protezione e non richiede alcuna azione da parte degli amministratori IT e degli utenti finali”.
La vulnerabilità in questione (CVE-2025-21204) riguarda un problema di elevazione dei privilegi nell’attivazione dei processi di Windows, causato da una gestione impropria della risoluzione dei collegamenti prima dell’accesso ai file (“link following”) nello stack di Windows Update. Nei sistemi non aggiornati, tale vulnerabilità potrebbe permettere a Windows Update di seguire collegamenti simbolici in modo inappropriato, consentendo potenzialmente ad aggressori locali di indurre il sistema ad accedere o modificare file e cartelle non previsti. Secondo le informazioni fornite da Microsoft, lo sfruttamento di questa vulnerabilità potrebbe consentire ad attaccanti con privilegi limitati di aumentare le proprie autorizzazioni ed “eseguire e/o manipolare le operazioni di gestione dei file sulla macchina vittima nel contesto dell’account NT AUTHORITY\SYSTEM”.
Un aspetto curioso della situazione è emerso dalle segnalazioni di alcuni utenti (citate da BleepingComputer), secondo cui gli aggiornamenti cumulativi di aprile non vengono installati correttamente se la directory C:\inetpub viene creata manualmente prima dell’applicazione degli aggiornamenti stessi. Insomma, sembra esserci un legame diretto tra la creazione della cartella e il processo di applicazione delle patch di sicurezza. Nonostante le spiegazioni fornite, Microsoft non ha ancora chiarito in dettaglio in che modo la presenza della cartella inetpub contribuisca effettivamente ad “aumentare la protezione” del sistema.