Avete installato gli aggiornamenti Windows 11 di aprile? In C: spunta la cartella inetpub (aggiornato)

Chi attiva il Web server Microsoft, ovvero IIS (Internet Information Services), sa bene che l’applicazione crea una cartella chiamata inetpub nella directory radice dell’unità C:. Tale locazione di memoria è la directory predefinita per gestire contenuti e file legati all’erogazione di siti Web e servizi online. Tanti utenti di Windows 11, che hanno installato gli aggiornamenti Microsoft di aprile 2025, stanno osservando una curiosa anomalia. Pur non avendo installato IIS, nella cartella C: compare proprio la directory inetpub. Com’è possibile?

La cartella inetpub di IIS compare nell’unità di sistema di Windows 11, inspiegabilmente

Che l’improvvisa comparsa della cartella C:\inetpub sia legata all’installazione degli aggiornamenti cumulativi di aprile è pacifico. La directory di IIS fa infatti stranamente capolino sul sistema dopo aver applicato i pacchetti Microsoft di questo mese.

La cartella inetpub, sui sistemi dove IIS non risulta attivo, risulta vuota, non è legata ad alcun processo attivo visibile ed è proprietà dell’account SYSTEM, segno che è creata da un processo con privilegi elevati.

Un semplice controllo con il comando netstat, non mette in evidenza l’apertura di porte aggiuntive rispetto a quelle previste in una configurazione predefinita di Windows 11. In altre parole, non c’è nessun server Web in ascolto (“LISTENING”) sul sistema operativo.

Una questione di trasparenza

Quello che preoccupa maggiormente non è tanto la presenza della cartella in sé, quanto la mancanza di documentazione ufficiale e di una risposta da parte di Microsoft.

In un contesto in cui la fiducia nei meccanismi di aggiornamento è fondamentale, episodi simili rischiano di minare la percezione di trasparenza dell’ecosistema Windows.

In particolare, per le aziende e gli amministratori di sistema, ogni modifica non documentata nella struttura del file system può potenzialmente rappresentare un rischio: pensiamo a procedure automatizzate di scansione, monitoraggio o hardening dei sistemi, che potrebbero reagire in modo inaspettato a queste alterazioni.

Una cartella vuota non è un dramma, certo. Però è necessario fare luce sulle motivazioni dell’accaduto.

La risposta di Microsoft: non cancellate la cartella inetpub!

Sebbene Microsoft non abbia fornito spiegazioni dettagliate sul motivo per cui viene creata la cartella vuota inetpub sui sistemi degli utenti, ha comunicato agli utenti di non eliminarla. L’azienda ha specificato che la creazione della cartella è legata a modifiche interne che migliorano la sicurezza, ma ancora una volta mancano all’appello informazioni specifiche su come questa azione contribuisca alla protezione del sistema.

Microsoft lo mette nero su bianco in questa pagina:

Dopo aver installato gli aggiornamenti (…) di sicurezza per il sistema operativo in uso, verrà creata una nuova cartella %systemdrive%\inetpub sul dispositivo. Questa cartella non deve essere eliminata, indipendentemente dal fatto che Internet Information Services (IIS) sia attivo o meno sul dispositivo di destinazione. Questo comportamento fa parte delle modifiche che aumentano la protezione e non richiede alcun intervento da parte degli amministratori IT e degli utenti finali.

Sarebbe interessante ricevere un’illuminazione su come una cartella vuota possa contribuire a risolvere un problema di sicurezza sul sistema Windows.

Un possibile motivo per cui Microsoft ha disposto la creazione di %systemdrive%\inetpub, potrebbe avere a che fare con la falla CVE-2025-21204. Questa lacuna di sicurezza consente a un attaccante locale di acquisire privilegi più elevati sfruttando un’impropria risoluzione dei link simbolici utilizzati dal sistema di aggiornamento di Windows.

La creazione della cartella %systemdrive%\inetpub potrebbe rappresentare una misura preventiva per prevenire questo tipo di attacco, anche se l’azienda di Redmond non si è espressa sul punto.