CVE-2016-20093
Alvorlig

CVE-2016-20093: Wise Care 365 og Wise Disk Cleaner sårbarhed

Sikkerhedsfejl i Wise Care 365 og Wise Disk Cleaner giver lokale brugere mulighed for at overtage hele systemet.

CVSS Score
7.8
Offentliggjort
19/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 14 dage

Hvad er det?

CVE-2016-20093 er en sårbarhed af typen ‘unquoted service path’ (en fejl hvor Windows leder efter programfiler på forkerte steder, fordi en filsti ikke er sat i anførselstegn). Fejlen findes i to populære Windows-oprydningsprogrammer: Wise Care 365 version 4.27 og Wise Disk Cleaner version 9.29. Når disse programmer installerer en baggrundsservice (WiseBootAssistant), angiver de ikke filstien korrekt. Det betyder, at Windows ved opstart leder efter programmet på flere steder — og en angriber kan udnytte det ved at placere et ondsindet program på et af disse steder, så det køres med de højeste rettigheder på computeren.

Hvem rammer det?

Sårbarheden rammer virksomheder og privatpersoner, der har installeret Wise Care 365 version 4.27 eller Wise Disk Cleaner version 9.29 på Windows-computere. Den kræver, at angriberen allerede har en brugerkonto på den pågældende computer — for eksempel en medarbejder, en konsulent med adgang, eller malware der allerede er trængt ind. SMV’er med delte computere, fjernadgang (f.eks. via Remote Desktop) eller mange brugere bør være særligt opmærksomme.

Hvad kan ske?

En angriber, der udnytter denne sårbarhed, kan køre vilkårlig kode med SYSTEM-rettigheder — det vil sige de højeste mulige rettigheder på en Windows-computer. Det svarer til at have fuld kontrol over maskinen. Konsekvenserne kan inkludere:

  • Installation af ransomware, spyware eller andre skadelige programmer
  • Tyveri af adgangskoder, forretningsdata og kundeoplysninger
  • Sletning eller kryptering af filer og backups
  • Brug af computeren som udgangspunkt for angreb på resten af virksomhedens netværk

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS-score 7.8 ud af 10 (Alvorlig). Det er alvorligt, fordi angriberen kan opnå fuld kontrol over systemet, og fordi angrebet ikke kræver særlige tekniske evner eller brugerinteraktion, når angriberen først har fodfæste. Den eneste begrænsning er, at angriberen skal have lokal adgang til computeren på forhånd — det sænker risikoen lidt sammenlignet med angreb over internettet, men er stadig en væsentlig trussel i mange virksomhedsmiljøer.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed:

  1. Tjek om I bruger de ramte programmer: Åbn ‘Programmer og funktioner’ i Windows og se efter Wise Care 365 eller Wise Disk Cleaner på jeres computere.
  2. Opdatér eller afinstallér: Opdatér til den nyeste version af de ramte programmer, eller afinstallér dem hvis I ikke har brug for dem. Kontakt leverandøren (Wisecleaner) for at bekræfte, at opdateringen løser problemet.
  3. Begræns brugeradgange: Sørg for, at medarbejdere kun har de rettigheder, de har brug for — ingen bør være lokal administrator, medmindre det er nødvendigt.
  4. Gennemgå fjernadgang: Hvis I bruger Remote Desktop eller andre fjernadgangsløsninger, så sørg for, at kun autoriserede brugere har adgang, og at adgangen kræver stærke adgangskoder og to-faktor-godkendelse.
  5. Kør en sårbarhedsscanning: Få en it-partner til at scanne jeres systemer for lignende ‘unquoted service path’-fejl i andre programmer.
Tidsfrist

Opdatér inden for 14 dage

Sådan ser Auroa det

Auroas anbefaling er, at I straks tjekker, om Wise Care 365 eller Wise Disk Cleaner er installeret på jeres computere, og opdaterer til nyeste version eller afinstallerer programmerne. Derudover bør I gennemgå, hvilke brugere der har lokale administratorrettigheder, og fjerne unødvendige rettigheder. Denne type sårbarhed er nem at udnytte for en angriber, der allerede har fod inden for døren — så det er en god anledning til at stramme op på adgangsstyringen generelt.

Tidslinje

01/01/2016
Sårbare versioner udgivet
Wise Care 365 version 4.27 og Wise Disk Cleaner version 9.29 udgives med den fejlagtige service path-konfiguration i WiseBootAssistant-servicen.
01/01/2020
Unquoted service path-angreb vinder udbredelse
Denne type sårbarhed bliver i perioden 2018-2021 et populært angrebsmål, da mange Windows-programmer indeholder lignende fejl. Proof-of-concept-kode til generelle unquoted service path-angreb er offentligt tilgængeligt.
19/06/2026
CVE-2016-20093 offentliggjort i NVD
Sårbarheden tildeles officielt CVE-ID og registreres i NVD (National Vulnerability Database) med en CVSS-score på 7.8 (Alvorlig).
19/06/2026
Patch tilgængelig via opdatering
Brugere opfordres til at opdatere til den nyeste version af Wise Care 365 og Wise Disk Cleaner, hvor problemet er adresseret. Kontakt leverandøren for at bekræfte, at den installerede version er sikker.

Konkrete eksempler

Medarbejder med standard-adgang overtager systemet

En medarbejder med en normal Windows-brugerkonto på en delt kontor-PC opdager, at Wise Care 365 er installeret. Vedkommende placerer et ondsindet program på en sti som C:Program.exe, der matcher Windows’ fejlagtige søgning efter WiseBootAssistant-servicen. Næste gang computeren genstartes, kører Windows automatisk det ondsindede program med SYSTEM-rettigheder — og medarbejderen har nu fuld kontrol over maskinen uden at have haft administratorrettigheder.

Angriber bruger sårbarhed til at sprede sig i netværket

En angriber er trængt ind i virksomhedens netværk via en phishing-mail og har adgang til én computer med begrænsede rettigheder. Angriberen finder Wise Disk Cleaner installeret og udnytter service path-sårbarheden til at eskalere til SYSTEM-rettigheder. Med disse rettigheder kan angriberen installere et fjernadgangsprogram, stjæle adgangskoder fra hukommelsen og bevæge sig videre til andre computere og servere på netværket.

Ransomware-installation via automatisk servicestart

Malware, der allerede er aktiv på en computer med begrænsede brugerrettigheder, udnytter WiseBootAssistant-sårbarhedens unquoted service path til at placere en ransomware-fil på en strategisk placering i filsystemet. Ved næste systemgenstart aktiveres ransomwaren med SYSTEM-rettigheder og krypterer alle filer på computeren — inklusive eventuelle netværksdrev — før nogen opdager det.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-428

Original NVD-beskrivelse (engelsk)

Wise Care 365 4.27 and Wise Disk Cleaner 9.29 contain unquoted service path vulnerabilities in the WiseBootAssistant and SpyHunter 4 Service respectively, allowing local users to execute arbitrary code with SYSTEM privileges. Attackers can insert malicious executables in the system root path that execute during service startup or system reboot with elevated privileges.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.8
Visning
Hurtige fakta
CVE-ID
CVE-2016-20093
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 14 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.