Без прав администратора: простая команда в Windows позволяет заблокировать все обновления

Исследователи по безопасности обнаружили нестандартный способ отключения обновлений Windows, при котором пользователь без административных прав может лишить систему всех будущих патчей. Метод базируется на неожиданной уязвимости, связанной с использованием символических ссылок в системной директории.

Проблема возникла после попытки Microsoft устранить уязвимость CVE-2025-21204, которая затрагивала каталог c:\inetpub. В рамках защиты компания начала принудительно создавать эту папку на всех системах. Но именно эта мера открыла новую лазейку — как выяснилось, каталог можно переназначить на любой другой файл или объект в системе.

Сценарий атаки элементарен: с помощью команды mklink /j пользователь создаёт junction-ссылку, переадресующую inetpub на, скажем, notepad.exe. В дальнейшем служба обновлений, обращаясь к inetpub, сталкивается с некорректной структурой — и отказывается устанавливать апдейты, считая систему непригодной для обновления.

Особенность бага в том, что:

• команда может быть выполнена из обычной командной строки (без UAC),
• сбой влияет не только на одно обновление, а на всю цепочку будущих установок,
• система часто не сообщает об ошибке напрямую — обновление может выглядеть как успешное, но никаких изменений не произойдет.

Это превращает уязвимость в тихий способ саботажа, особенно опасный в корпоративной среде. Подмена inetpub легко фиксируется журналами безопасности, но без специальных мер контроля может остаться незамеченной неделями.

На данный момент Microsoft не выпустила официального патча. Специалисты рекомендуют:

• ограничить права на редактирование структуры C:\,
• настроить мониторинг изменений системных директорий,
• вручную проверять назначение inetpub на рабочих станциях.

Пока проблема не закрыта, встроенный в Windows механизм обновлений может быть отключён любым пользователем одной строкой текста — без вредоносного кода, скачивания вирусов или прав администратора.