CVE-2016-20094: Alvorlig sårbarhed i AnyDesk 2.5.0
En fejl i AnyDesk 2.5.0 giver lokale brugere mulighed for at overtage din computer med fulde systemrettigheder.
Hvad er det?
AnyDesk er et populært program til fjernadgang, som mange virksomheder bruger til at få support eller arbejde hjemmefra. I version 2.5.0 er der en fejl kaldet en ‘unquoted service path’-sårbarhed (en forkert konfigureret systemsti uden anførselstegn). Det betyder, at Windows ikke finder det rigtige program ved opstart — og i stedet kan blive narret til at køre et ondsindet program. Fejlen kræver, at angriberen allerede har adgang til computeren som en normal bruger, men giver dem herefter fulde systemrettigheder (SYSTEM-niveau), som er det højeste rettighedsniveau i Windows.
Hvem rammer det?
Sårbarheden rammer alle virksomheder, der bruger AnyDesk version 2.5.0 på Windows-computere. Det gælder særligt:
- Virksomheder der bruger AnyDesk til fjernarbejde eller IT-support
- Virksomheder med delte computere eller flere brugere på samme maskine
- Virksomheder hvor medarbejdere har lokale brugerkonti, men ikke administratorrettigheder
Selv én sårbar computer i virksomheden kan give en angriber fodfæste i hele netværket.
Hvad kan ske?
En angriber, der allerede har adgang til computeren som en almindelig bruger, kan udnytte fejlen til at:
- Overtage computeren med fulde systemrettigheder (det højeste niveau)
- Installere skadelige programmer, fx ransomware eller spyware, uden at blive opdaget
- Stjæle adgangskoder, forretningsdata og fortrolige filer
- Sprede sig videre til andre computere og systemer i virksomhedens netværk
- Slette eller manipulere data og systemindstillinger
Angrebet kan udløses automatisk, næste gang computeren genstartes — uden at brugeren opdager det.
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) af de internationale sikkerhedseksperter bag CVSS-standarden. Selvom angriberen skal have lokal adgang til maskinen, er konsekvenserne meget alvorlige: fuld kontrol over fortrolighed, integritet og tilgængelighed af data. Det vil sige, at en angriber kan læse, ændre og slette alt på maskinen. Kompleksiteten er lav, hvilket betyder, at angrebet ikke kræver særlige tekniske færdigheder at gennemføre.
Hvad gør jeg nu?
Tjek om din virksomhed bruger AnyDesk, og følg disse trin:
- Find ud af hvilken version af AnyDesk der er installeret — åbn AnyDesk, klik på menuen og find versionsnummeret. Er det 2.5.0, er du sårbar.
- Opdater AnyDesk til den nyeste version — gå til AnyDesks hjemmeside (anydesk.com) og hent den seneste version. Opdateringen fjerner sårbarheden.
- Genstart computerne efter opdateringen, så den nye version træder i kraft.
- Tjek alle computere i virksomheden — ikke kun din egen. Alle maskiner med AnyDesk 2.5.0 skal opdateres.
- Begræns brugeradgange — sørg for at medarbejdere kun har de rettigheder, de har brug for. Det begrænser skaden, hvis en angriber får adgang.
- Kontakt din IT-ansvarlige eller IT-leverandør hvis du er usikker på, om din virksomhed er berørt.
Opdater hurtigst muligt
Vores klare anbefaling er, at du opdaterer AnyDesk på alle virksomhedens computere hurtigst muligt. Fejlen er nem at udnytte for en angriber med selv begrænset adgang til en computer — og konsekvenserne kan være alvorlige for hele virksomheden. Brug lejligheden til at tjekke, om andre programmer på computerne også trænger til opdateringer. Regelmæssige opdateringer er en af de mest effektive måder at beskytte din virksomhed mod cyberangreb.
Tidslinje
Konkrete eksempler
Medarbejder med begrænset adgang eskalerer rettigheder
En medarbejder i administrationen har en normal brugerkonto på sin computer — uden administratorrettigheder. Medarbejderen downloader ubevidst et ondsindet program via en phishing-mail. Det ondsindede program placerer en falsk eksekverbar fil i systemroden (fx C:Program.exe). Næste gang computeren genstartes, kører Windows fejlagtigt den falske fil i stedet for AnyDesk — og angriberen har nu fuld kontrol over computeren med SYSTEM-rettigheder.
Ekstern angriber udnytter fjernadgang
En angriber får fat i en medarbejders Windows-loginoplysninger via et datalæk. Med disse oplysninger logger angriberen ind på computeren via virksomhedens fjernadgang og placerer en ondsindet fil i den sårbare sti. Ved næste planlagte genstart — fx om natten — aktiveres filen automatisk med SYSTEM-rettigheder, og angriberen kan nu bevæge sig frit rundt i virksomhedens netværk uden at blive opdaget.
Ransomware-angreb via privilegieeskalering
En angriber bruger sårbarheden til at eskalere fra en normal brugerkonto til fuld systemadgang. Med disse rettigheder installerer angriberen ransomware (software der krypterer alle filer og kræver løsesum), der krypterer ikke blot den ene computer, men spreder sig til netværksdrev og andre computere i virksomheden. Virksomheden mister adgangen til sine data og tvinges til enten at betale løsesum eller starte forfra fra backup.
Ofte stillede spørgsmål
Hvad er en 'unquoted service path'-sårbarhed?
Det er en teknisk fejl i, hvordan Windows-programmer registrerer sig selv i operativsystemet. Hvis programmets installationssti (stien til programfilen) ikke er omgivet af anførselstegn, kan Windows blive forvirret og lede efter programmet på forkerte steder. En angriber kan placere et ondsindet program på et af disse forkerte steder, og Windows vil så køre det i stedet for det rigtige program — med fulde rettigheder.
Skal angriberen have fysisk adgang til min computer?
Ikke nødvendigvis fysisk adgang, men de skal have en brugerkonto på computeren eller have fået adgang via fx phishing eller et andet angreb. Har en medarbejder ubevidst installeret skadelig software, eller har en angriber fået fat i en medarbejders login, kan fejlen udnyttes uden at angriberen er til stede i lokalet.
Er vi i fare, hvis vi bruger AnyDesk til IT-support?
Ja, potentielt. Mange virksomheder bruger AnyDesk til at give IT-support adgang til computere udefra. Hvis AnyDesk version 2.5.0 er installeret, er computeren sårbar. Det gælder uanset om programmet aktivt bruges til support eller blot er installeret på maskinen. Opdater til nyeste version hurtigst muligt.
Kan min antivirussoftware beskytte mig mod dette angreb?
Antivirussoftware kan måske opdage kendte ondsindede programmer, men denne type angreb kan være svær at spotte, fordi det ondsindede program kører med de højeste systemrettigheder og kan se ud som et legitimt program. Den bedste beskyttelse er at opdatere AnyDesk til en sikker version, så sårbarheden ikke kan udnyttes.
Hvad sker der, hvis vi ikke opdaterer?
Hvis I ikke opdaterer, forbliver computere med AnyDesk 2.5.0 sårbare. En angriber med selv begrænset adgang til computeren kan overtage den med fulde rettigheder. Det kan føre til datatyveri, ransomware-angreb, systemnedbrud eller misbrug af virksomhedens netværk — og potentielt store omkostninger og driftsforstyrrelser.
Hvordan ved jeg, hvilken version af AnyDesk vi bruger?
Åbn AnyDesk på computeren. Klik på hamburgermenu-ikonet (de tre vandrette streger) øverst til højre, og vælg ‘Om AnyDesk’ eller ‘About AnyDesk’. Her vises versionsnummeret. Er det 2.5.0, skal du opdatere. Du kan også bede din IT-leverandør om at tjekke alle computere i virksomheden på én gang.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
AnyDesk 2.5.0 contains an unquoted service path vulnerability that allows local users to execute arbitrary code with SYSTEM privileges by exploiting the service installation. Attackers can insert malicious executables in the system root path that execute with elevated privileges during application startup or system reboot.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
