CVE-2026-55201: Sårbarhed i Evil-WinRM forklaret
Sårbarhed i Evil-WinRM kan lade en ondsindet server overskrive filer på din computer og give angribere vedvarende adgang.
Hvad er det?
Evil-WinRM er et populært administrationsværktøj, som IT-folk bruger til at styre Windows-servere på afstand via WinRM-protokollen (Windows Remote Management). En sårbarhed i version 3.9 og tidligere gør, at selve værktøjet ikke tjekker filnavne ordentligt, når du henter filer fra en server. Hvis serveren returnerer filnavne med specielle tegn som ../ (kaldet path traversal), kan filer ende uden for den mappe, du har angivet. En angriber, der kontrollerer serveren, kan dermed skrive filer præcis hvor de vil på din maskine — herunder kritiske systemfiler.
Hvem rammer det?
Sårbarheden rammer primært IT-administratorer og sikkerhedsfolk (f.eks. penetrationstestere), som bruger Evil-WinRM til at administrere eller undersøge Windows-servere. Det er altså klientmaskinen — din laptop eller arbejdsstation — der er i fare, ikke serveren selv. Hvis din virksomhed bruger Evil-WinRM version 3.9 eller ældre til at forbinde til eksterne eller interne Windows-servere, bør du handle nu.
Hvad kan ske?
En angriber, der kontrollerer den Windows-server du forbinder til, kan udnytte sårbarheden til at overskrive filer på din maskine. Konkret kan det betyde:
- Ændring af SSH-nøglefiler (
authorized_keys), så angriberen kan logge ind på din maskine uden adgangskode - Manipulation af shell-konfigurationsfiler (f.eks.
.bashrc), så skadelig kode køres automatisk ved næste login - Eskalering af rettigheder — angriberen kan opnå højere adgang på din maskine end normalt tilladt
- Vedvarende bagdørsadgang, der overlever genstart og adgangskodeskift
Hvor alvorligt er det?
CVSS-scoren er 6,8 ud af 10 (Moderat). Selvom angrebet kræver, at angriberen allerede kontrollerer den server, du forbinder til — hvilket sænker risikoen en smule — er konsekvenserne alvorlige: fuld adgang til fortrolige data og mulighed for at ændre filer på din maskine. Kompleksiteten er høj og kræver brugerinteraktion (du skal aktivt hente filer), men det er præcis den normale arbejdsgang for Evil-WinRM-brugere. Risikoen er især relevant, hvis du forbinder til servere, du ikke 100% stoler på.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed:
- Opdatér Evil-WinRM straks. Rettelsen er tilgængelig i commit 6ecd570 på GitHub. Opdatér til den nyeste version, der indeholder denne rettelse, ved at køre
gem update evil-winrm(eller hent seneste version fra projektets GitHub-side). - Tjek om I bruger Evil-WinRM. Spørg jeres IT-ansvarlige, om værktøjet anvendes i virksomheden — typisk til penetrationstest, serveradministration eller Red Team-opgaver.
- Undgå at hente filer fra ikke-betroede servere med Evil-WinRM, indtil opdateringen er installeret. Brug ikke
download-funktionen mod servere, du ikke fuldt ud kontrollerer. - Gennemgå SSH-nøgler og shell-konfigurationsfiler på de maskiner, hvor Evil-WinRM har været brugt. Tjek
~/.ssh/authorized_keysog~/.bashrcfor ukendte ændringer. - Dokumentér hvem der bruger værktøjet i jeres virksomhed, og sørg for at alle relevante medarbejdere er opdateret.
Opdatér inden for 7 dage
Vi anbefaler, at du opdaterer Evil-WinRM til den patchede version hurtigst muligt — det tager typisk under fem minutter. Selvom sårbarheden primært rammer IT-fagfolk frem for slutbrugere, kan konsekvenserne være meget alvorlige, fordi en kompromitteret maskine kan give adgang til hele jeres netværk. Kontakt Auroa, hvis du er usikker på, om I er berørt, eller ønsker hjælp til at gennemgå jeres klientmaskiner for tegn på udnyttelse.
Tidslinje
Konkrete eksempler
Ondsindet server indsætter SSH-bagdør
En IT-administrator bruger Evil-WinRM til at hente logfiler fra en ekstern Windows-server, der er kompromitteret af en angriber. Serveren returnerer et filnavn som ../../.ssh/authorized_keys i stedet for det rigtige filnavn. Evil-WinRM skriver filen uden for den valgte mappe og overskriver SSH-nøglefilen på administratorens laptop. Angriberen kan nu logge direkte ind på laptopen uden adgangskode.
Skadelig kode køres ved hvert login
Under en penetrationstest forbinder en sikkerhedskonsulent til en testserver, som i mellemtiden er overtaget af en tredjepart. Serveren sender et manipuleret filnavn, der peger på konsulentens ~/.bashrc-fil. Den overskrevne fil indeholder nu en kommando, der sender alle tastetryk til en ekstern adresse — og dette sker automatisk, hver gang konsulenten åbner en terminal.
Rettighedseskalering via konfigurationsfil
En angriber, der kontrollerer en intern Windows-server, udnytter Evil-WinRM-sårbarheden til at overskrive en systemkonfigurationsfil på en administrators maskine. Filen giver angriberen mulighed for at køre kommandoer med forhøjede rettigheder (sudo-adgang). Derfra kan angriberen bevæge sig videre til andre systemer i virksomhedens netværk.
Ofte stillede spørgsmål
Hvad er Evil-WinRM, og bruger vi det i vores virksomhed?
Evil-WinRM er et open source-kommandolinjeværktøj, der giver mulighed for at styre Windows-servere på afstand. Det bruges typisk af IT-administratorer og sikkerhedsfolk til serveradministration og penetrationstest. Spørg jeres IT-ansvarlige — det er ikke et slutbrugerprogram, så de fleste medarbejdere vil ikke have det installeret.
Hvad er path traversal, og hvorfor er det farligt?
Path traversal (stigennemløb) er en teknik, hvor en angriber bruger specielle tegn som
../i et filnavn til at navigere uden for den tilladte mappe. Forestil dig, at du beder om at hente en fil kaldetrapport.txt, men serveren svarer med et filnavn som../../.ssh/authorized_keys— så kan filen ende et helt andet sted på din maskine end forventet. Resultatet kan være overskrevne systemfiler og uautoriseret adgang.Er min virksomheds servere i fare?
Nej, ikke direkte. Sårbarheden rammer den maskine, der kører Evil-WinRM — altså klienten (din laptop eller arbejdsstation) — ikke serveren. Men hvis en angribers maskine kompromitteres, kan det efterfølgende give adgang til resten af jeres netværk via den inficerede maskine.
Hvad hvis vi ikke selv kan opdatere Evil-WinRM?
Som en midlertidig løsning bør I undlade at bruge
download-funktionen i Evil-WinRM mod servere, I ikke fuldt ud kontrollerer. Kontakt Auroa, hvis I har brug for hjælp til opdateringen eller en risikovurdering af, om I har været udsat.Kan vi se, om vi allerede er blevet angrebet?
Ja, I kan tjekke de mest oplagte angrebsmål: åbn filen
~/.ssh/authorized_keysog se, om der er SSH-nøgler, I ikke genkender. Kig også i~/.bashrcog~/.bash_profilefor ukendte kommandoer. Har I brug for hjælp til en systematisk gennemgang, kan Auroa assistere.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Evil-WinRM through 3.9, fixed in commit 6ecd570, contains a path traversal vulnerability in the download_dir() function that allows a rogue or compromised remote Windows server to write files outside the intended download directory by returning filenames with traversal sequences from Get-ChildItem command output that are passed unsanitized to File.join(). Attackers controlling the remote server can exploit this to overwrite sensitive client-side files such as SSH authorized_keys or shell configuration files, achieving persistent access or privilege escalation on the client machine.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
