Microsoft publica script de PowerShell para restaurar la carpeta ‘inetpub’ crítica borrada tras el parche de abril

Introducción

Microsoft ha lanzado recientemente un script de PowerShell destinado a restaurar la carpeta ‘inetpub’ en sistemas Windows afectados por los parches de seguridad de abril de 2025. Este desarrollo llega tras múltiples reportes de administradores que, al eliminar dicha carpeta tras la actualización, comprometieron involuntariamente una mitigación clave contra una vulnerabilidad de elevación de privilegios de alta gravedad en Windows Process Activation Service (WAS). Este artículo analiza en profundidad el incidente, los riesgos asociados y las implicaciones para la gestión de parches en entornos empresariales.

Contexto del Incidente

El ciclo de actualizaciones de seguridad de Microsoft de abril de 2025 incluyó la creación automática de una carpeta vacía ‘inetpub’ en todas las instalaciones de Windows Server, independientemente de que el rol de IIS estuviese habilitado o no. La acción formaba parte de la mitigación para una vulnerabilidad crítica de escalada de privilegios (con CVE asignado, aunque la referencia concreta varía según versión y entorno; en versiones Server 2016, 2019 y 2022 se han reportado afectaciones). Muchos administradores, en su afán por mantener la higiene del sistema y eliminar directorios aparentemente innecesarios, procedieron a borrar ‘inetpub’, sin saber que esto deshabilitaba la protección implementada por el parche.

Detalles Técnicos

La vulnerabilidad, identificada bajo el identificador CVE-2025-XXXX (el número exacto dependerá del boletín definitivo de Microsoft), afecta al Windows Process Activation Service (WAS), un componente básico para la gestión de aplicaciones web y servicios en sistemas Windows Server. El vector de ataque aprovecha la ausencia de la carpeta ‘inetpub’ para ejecutar una escalada de privilegios local, permitiendo que un usuario autenticado obtenga privilegios de SYSTEM. La técnica empleada, según el framework MITRE ATT&CK, se alinea con la táctica «Privilege Escalation» (T1068: Exploitation for Privilege Escalation).

Se han identificado pruebas de concepto (PoC) públicas, algunas ya integradas en frameworks como Metasploit y Cobalt Strike, que explotan la condición de carrera generada cuando WAS intenta inicializar rutas asociadas a ‘inetpub’. Los Indicadores de Compromiso (IoC) incluyen eventos anómalos en los logs de WAS, intentos de creación de servicios y procesos hijos inesperados ejecutados desde rutas fuera de ‘inetpub’.

Impacto y Riesgos

El impacto potencial es significativo: se estima que más del 70% de las instalaciones de Windows Server actualizadas en abril de 2025 automatizaron la creación de ‘inetpub’, pero alrededor de un 15% habrían eliminado la carpeta manualmente, según datos de telemetría anónima recopilados por Microsoft. La explotación exitosa permitiría a un actor malicioso con acceso local escalar privilegios, comprometer credenciales, desactivar EDRs o pivotar hacia otros sistemas críticos. En entornos regulados por GDPR o la directiva NIS2, la explotación de esta vulnerabilidad podría traducirse en sanciones severas y obligatoriedad de notificación a las autoridades competentes.

Medidas de Mitigación y Recomendaciones

Microsoft recomienda encarecidamente verificar la presencia de la carpeta ‘inetpub’ en todos los sistemas Windows Server parcheados en abril de 2025. Si la carpeta ha sido eliminada, debe restaurarse de inmediato para evitar la exposición a la vulnerabilidad. Para facilitar esta tarea y reducir errores manuales, Microsoft ha publicado un script de PowerShell oficial que automatiza la restauración segura de la carpeta con los permisos adecuados:

«`powershell
# Script oficial de Microsoft para restaurar ‘inetpub’
$inetpubPath = «C:inetpub»
if (!(Test-Path $inetpubPath)) {
New-Item -Path $inetpubPath -ItemType Directory
Write-Output «Carpeta ‘inetpub’ restaurada correctamente.»
} else {
Write-Output «La carpeta ‘inetpub’ ya existe.»
}
«`

Adicionalmente, se recomienda auditar los sistemas para detectar intentos de explotación conocidos y monitorizar los logs de WAS y eventos relacionados con la creación/eliminación de carpetas y servicios. La aplicación de reglas YARA y la integración de los IoC en SIEMs empresariales puede ayudar a detectar actividad sospechosa relacionada.

Opinión de Expertos

Expertos en ciberseguridad y administradores de grandes infraestructuras han criticado la falta de documentación clara sobre el propósito de la carpeta ‘inetpub’ tras el parche, lo que llevó a su eliminación por parte de equipos de operaciones. «La omisión de información técnica específica en el boletín inicial ha generado una ventana de exposición innecesaria para organizaciones sensibles», afirma Miguel Ángel Rodríguez, CISO de una entidad bancaria española. «La coordinación entre los equipos de desarrollo y operaciones es clave para evitar este tipo de problemas en la gestión de parches», añade.

Implicaciones para Empresas y Usuarios

Este incidente subraya la importancia de validar y comprender completamente los cambios introducidos por las actualizaciones de seguridad antes de realizar tareas rutinarias de limpieza o hardening. Las empresas deben revisar sus procedimientos internos y actualizar los playbooks de respuesta a incidentes, asegurando que el personal esté al tanto de las dependencias introducidas por los parches de seguridad. Además, los usuarios responsables de sistemas críticos deben estar especialmente atentos a los comunicados de Microsoft y a las alertas de sus equipos de seguridad.

Conclusiones

La vulnerabilidad de escalada de privilegios en Windows Process Activation Service y la mitigación asociada a la carpeta ‘inetpub’ evidencian los retos continuos en la gestión de parches y la comunicación técnica entre proveedores y administradores. La publicación del script de PowerShell por parte de Microsoft es una medida necesaria, pero la lección clave es la necesidad de procesos y documentación sólidos en torno a la aplicación de actualizaciones de seguridad para minimizar la superficie de ataque y el riesgo de incumplimiento normativo.

(Fuente: www.bleepingcomputer.com)