หลังจากอัปเดต Windows รอบเดือนเมษายน 2025 ผู้ใช้หลายคนอาจสังเกตเห็นว่า Windows สร้างโฟลเดอร์ชื่อ C:\inetpub ขึ้นมาเองแบบงง ๆ ทั้งที่ไม่ได้ติดตั้งเว็บเซิร์ฟเวอร์อย่าง IIS (Internet Information Services) เอาไว้เลย
หลายคนก็เลยคิดว่า “ไม่ใช้ก็ลบได้มั้ง?” แต่จริง ๆ แล้ว Microsoft บอกว่าอย่าลบนะ เพราะมันเป็นส่วนหนึ่งของระบบป้องกันช่องโหว่ร้ายแรง (CVE-2025-21204) ที่เกี่ยวข้องกับการจัดการสิทธิ์ในระบบ Windows Update
ทำไมอยู่ดี ๆ ถึงมีโฟลเดอร์นี้?
โฟลเดอร์ inetpub เป็นของเดิมที่ IIS เคยใช้ แต่ในการอัปเดตล่าสุด Microsoft เอามาใช้ช่วยอุดช่องโหว่ที่เปิดโอกาสให้แฮกเกอร์เลื่อนสิทธิ์เป็น SYSTEM ได้ผ่านการจัดการ symbolic link ผิดพลาดใน Windows Update Stack
ถึงแม้โฟลเดอร์จะว่างเปล่า แต่ถ้าคุณลบออกไป ระบบจะเสี่ยงต่อการถูกเจาะผ่านช่องโหว่นี้อีกครั้ง
ลบไปแล้ว ทำไงดี?
Microsoft ออก PowerShell Script สำหรับกู้คืนโฟลเดอร์นี้โดยเฉพาะ ใช้งานง่าย แค่รันคำสั่งนี้จาก PowerShell:
Install-Script -Name Set-InetpubFolderAcl
C:\Program` Files\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1
สคริปต์นี้จะสร้างโฟลเดอร์ inetpub ใหม่ พร้อมตั้งค่าความปลอดภัยให้ถูกต้องเหมือนเดิม และยังอัปเดตสิทธิ์ของโฟลเดอร์ DeviceHealthAttestation สำหรับระบบ Windows Server ที่ได้รับผลจากแพตช์เดือนกุมภาพันธ์ด้วย
Microsoft ย้ำ “อย่าลบเด็ดขาด”
“ไม่ว่าคุณจะติดตั้ง IIS หรือไม่ โฟลเดอร์นี้ไม่ควรถูกลบออก เพราะเป็นส่วนหนึ่งของการป้องกันช่องโหว่ ไม่ต้องทำอะไรเพิ่มเติมก็ได้ แค่ปล่อยมันไว้อย่างนั้น” – Microsoft
แม้การลบออกจะไม่ทำให้ Windows crash หรือมีปัญหาทันที แต่ก็เปิดโอกาสให้คนร้ายใช้เทคนิคบางอย่าง เช่น การสร้าง junction เพื่อป้องกันการติดตั้ง Windows Update ได้
ควรรู้อะไรบ้าง?
- ถ้าเห็นโฟลเดอร์
C:\inetpubหลังอัปเดต Windows เดือนเมษายน อย่าตกใจ มันไม่ได้ติดมัลแวร์ - อย่าลบ ถึงจะดูว่าไม่ได้ใช้ก็ตาม
- ถ้าเผลอลบไปแล้ว ใช้สคริปต์ที่ Microsoft แจกมาช่วยคืนค่าได้ทันที
- ไม่จำเป็นต้องเปิด IIS หรือทำอะไรเพิ่มเติม แค่ปล่อยมันไว้อย่างนั้นก็เพียงพอแล้ว
ที่มา: BleepingComputer
