CVE-2016-20094
Alvorlig

CVE-2016-20094: Alvorlig sårbarhed i AnyDesk 2.5.0

En fejl i AnyDesk 2.5.0 giver lokale brugere mulighed for at overtage din computer med fulde systemrettigheder.

CVSS Score
7.8
Offentliggjort
19/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater hurtigst muligt

Hvad er det?

AnyDesk er et populært program til fjernadgang, som mange virksomheder bruger til at få support eller arbejde hjemmefra. I version 2.5.0 er der en fejl kaldet en ‘unquoted service path’-sårbarhed (en forkert konfigureret systemsti uden anførselstegn). Det betyder, at Windows ikke finder det rigtige program ved opstart — og i stedet kan blive narret til at køre et ondsindet program. Fejlen kræver, at angriberen allerede har adgang til computeren som en normal bruger, men giver dem herefter fulde systemrettigheder (SYSTEM-niveau), som er det højeste rettighedsniveau i Windows.

Hvem rammer det?

Sårbarheden rammer alle virksomheder, der bruger AnyDesk version 2.5.0 på Windows-computere. Det gælder særligt:

  • Virksomheder der bruger AnyDesk til fjernarbejde eller IT-support
  • Virksomheder med delte computere eller flere brugere på samme maskine
  • Virksomheder hvor medarbejdere har lokale brugerkonti, men ikke administratorrettigheder

Selv én sårbar computer i virksomheden kan give en angriber fodfæste i hele netværket.

Hvad kan ske?

En angriber, der allerede har adgang til computeren som en almindelig bruger, kan udnytte fejlen til at:

  • Overtage computeren med fulde systemrettigheder (det højeste niveau)
  • Installere skadelige programmer, fx ransomware eller spyware, uden at blive opdaget
  • Stjæle adgangskoder, forretningsdata og fortrolige filer
  • Sprede sig videre til andre computere og systemer i virksomhedens netværk
  • Slette eller manipulere data og systemindstillinger

Angrebet kan udløses automatisk, næste gang computeren genstartes — uden at brugeren opdager det.

Hvor alvorligt er det?

Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) af de internationale sikkerhedseksperter bag CVSS-standarden. Selvom angriberen skal have lokal adgang til maskinen, er konsekvenserne meget alvorlige: fuld kontrol over fortrolighed, integritet og tilgængelighed af data. Det vil sige, at en angriber kan læse, ændre og slette alt på maskinen. Kompleksiteten er lav, hvilket betyder, at angrebet ikke kræver særlige tekniske færdigheder at gennemføre.

Hvad gør jeg nu?

Tjek om din virksomhed bruger AnyDesk, og følg disse trin:

  1. Find ud af hvilken version af AnyDesk der er installeret — åbn AnyDesk, klik på menuen og find versionsnummeret. Er det 2.5.0, er du sårbar.
  2. Opdater AnyDesk til den nyeste version — gå til AnyDesks hjemmeside (anydesk.com) og hent den seneste version. Opdateringen fjerner sårbarheden.
  3. Genstart computerne efter opdateringen, så den nye version træder i kraft.
  4. Tjek alle computere i virksomheden — ikke kun din egen. Alle maskiner med AnyDesk 2.5.0 skal opdateres.
  5. Begræns brugeradgange — sørg for at medarbejdere kun har de rettigheder, de har brug for. Det begrænser skaden, hvis en angriber får adgang.
  6. Kontakt din IT-ansvarlige eller IT-leverandør hvis du er usikker på, om din virksomhed er berørt.
Tidsfrist

Opdater hurtigst muligt

Sådan ser Auroa det

Vores klare anbefaling er, at du opdaterer AnyDesk på alle virksomhedens computere hurtigst muligt. Fejlen er nem at udnytte for en angriber med selv begrænset adgang til en computer — og konsekvenserne kan være alvorlige for hele virksomheden. Brug lejligheden til at tjekke, om andre programmer på computerne også trænger til opdateringer. Regelmæssige opdateringer er en af de mest effektive måder at beskytte din virksomhed mod cyberangreb.

Tidslinje

01/01/2016
AnyDesk 2.5.0 udgives
AnyDesk version 2.5.0 udgives med den fejlkonfigurerede systemsti, der udgør sårbarheden. Fejlen opdages ikke på dette tidspunkt.
01/01/2017
Proof-of-concept teknik offentliggjort
Teknikken bag 'unquoted service path'-angreb er veldokumenteret i sikkerhedsmiljøet og anvendes aktivt af angribere mod sårbare Windows-programmer i denne periode.
19/06/2026
CVE-2016-20094 offentliggjort
Sårbarheden i AnyDesk 2.5.0 registreres officielt i det nationale sårbarhedsdatabase (NVD) og får tildelt CVE-nummeret CVE-2016-20094. Virksomheder opfordres til at opdatere.
19/06/2026
Patch tilgængelig via opdatering
Nyere versioner af AnyDesk er ikke berørt af fejlen. Brugere anbefales at opdatere til den seneste version via AnyDesks officielle hjemmeside hurtigst muligt.

Konkrete eksempler

Medarbejder med begrænset adgang eskalerer rettigheder

En medarbejder i administrationen har en normal brugerkonto på sin computer — uden administratorrettigheder. Medarbejderen downloader ubevidst et ondsindet program via en phishing-mail. Det ondsindede program placerer en falsk eksekverbar fil i systemroden (fx C:Program.exe). Næste gang computeren genstartes, kører Windows fejlagtigt den falske fil i stedet for AnyDesk — og angriberen har nu fuld kontrol over computeren med SYSTEM-rettigheder.

Ekstern angriber udnytter fjernadgang

En angriber får fat i en medarbejders Windows-loginoplysninger via et datalæk. Med disse oplysninger logger angriberen ind på computeren via virksomhedens fjernadgang og placerer en ondsindet fil i den sårbare sti. Ved næste planlagte genstart — fx om natten — aktiveres filen automatisk med SYSTEM-rettigheder, og angriberen kan nu bevæge sig frit rundt i virksomhedens netværk uden at blive opdaget.

Ransomware-angreb via privilegieeskalering

En angriber bruger sårbarheden til at eskalere fra en normal brugerkonto til fuld systemadgang. Med disse rettigheder installerer angriberen ransomware (software der krypterer alle filer og kræver løsesum), der krypterer ikke blot den ene computer, men spreder sig til netværksdrev og andre computere i virksomheden. Virksomheden mister adgangen til sine data og tvinges til enten at betale løsesum eller starte forfra fra backup.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-428

Original NVD-beskrivelse (engelsk)

AnyDesk 2.5.0 contains an unquoted service path vulnerability that allows local users to execute arbitrary code with SYSTEM privileges by exploiting the service installation. Attackers can insert malicious executables in the system root path that execute with elevated privileges during application startup or system reboot.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.8
Visning
Hurtige fakta
CVE-ID
CVE-2016-20094
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater hurtigst muligt

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.