微软的符号链接补丁造成了新的 Windows DoS 漏洞

微软最近发布的安全更新旨在修补一个严重的权限提升漏洞，但却无意中引入了一个新的重大缺陷。 

此修复程序现在允许非管理用户有效阻止所有未来的 Windows 安全更新，从而创建拒绝服务条件。 该补丁的意外后果凸显了软件安全的复杂性以及防止不可预见的漏洞的持续挑战。

符号链接漏洞和微软的修复

2025 年 4 月，微软发布了安全更新以解决CVE-2025-21204漏洞，该漏洞被评为“重要”，CVSS 3.1 评分为 7.8。 

该漏洞涉及 Windows 更新堆栈中文件访问（“链接跟踪”）之前的不正确链接解析，从而允许授权攻击者在本地提升权限。

为了缓解此漏洞，微软实施了一项修复程序，无论是否安装了 Internet 信息服务 (IIS) ，都会在所有 Windows 系统的系统驱动器上自动创建一个名为“ inetpub ”的文件夹。

微软明确警告用户不要删除此文件夹，因为它是安全增强的一个组成部分。

新的 DoS 漏洞

安全研究员 Kevin Beaumont 发现此修复程序引入了一个拒绝服务漏洞，允许非管理员用户永久阻止 Windows 安全更新。 

Beaumont 发现，通过简单的命令行操作，用户就可以创建一个破坏更新机制的连接点（Windows 中的一种文件系统重定向）。

Beaumont 在他的研究中解释道：“非管理员（和管理员）用户都可以在 c: 中创建连接点。” 这种利用方法只需要标准用户权限和基本的命令行访问权限。

可以通过一个简单的命令来利用此漏洞，该命令在受保护的 inetpub 文件夹和系统文件之间创建符号链接：

此命令创建一个将 c:inetpub 重定向到 Windows 记事本的连接点。建立此连接点后，Windows 更新在尝试与该文件夹交互时会遇到错误，导致更新失败或回滚。

“此后，2025 年 4 月的Windows 操作系统更新（以及未来的更新，除非微软修复它）将永远无法安装——它们会出错和/或回滚。所以你只能继续使用没有安全更新的版本，”Beaumont 指出。

该漏洞最令人担忧的方面是它不需要管理权限即可利用。 

标准用户可以在许多默认配置的系统上创建这些连接点，从而可能阻止在整个系统范围内安装关键的安全更新。这不仅仅是暂时的拒绝服务 - 而是一个持续存在的问题，直到有人手动解决连接问题或重新安装系统为止。 

安全专家警告称，恶意软件或恶意行为者可以轻松地编写脚本并部署该程序，以使系统容易受到其他攻击。大约两周前， 博蒙特向微软安全响应中心报告了他的发现，但尚未收到回复。在微软解决此问题之前，建议系统管理员监视系统驱动器是否存在异常连接点。