CVE-2020-37251: RealTimes Desktop Service sårbarhed
RealTimes Desktop Service 18.1.4 har en fejl, der lader lokale angribere overtage hele computeren med systemrettigheder.
Hvad er det?
RealTimes Desktop Service version 18.1.4 indeholder en sårbarhed kaldet ‘unquoted service path’ (uciteret servicesti). Det betyder, at programmet rpdsvc.exe refererer til sin egen placering på computeren uden anførselstegn. Windows leder så efter programfiler i forkerte mapper undervejs — og en angriber kan udnytte dette ved at placere et ondsindet program i en af disse mapper. Næste gang tjenesten startes eller computeren genstartes, kører Windows det ondsindede program i stedet — med fuld systemadgang.
Hvem rammer det?
Sårbarheden rammer virksomheder og brugere, der har RealTimes Desktop Service version 18.1.4 installeret på Windows-computere. Fordi angrebet kræver lokal adgang, er det særligt relevant i miljøer, hvor flere brugere deler computere, eller hvor medarbejdere kan installere programmer — fx kontormiljøer, skolecomputere eller computere tilgængelige via fjernadgang (fx Remote Desktop).
Hvad kan ske?
En angriber med en almindelig brugerkonto på den berørte computer kan eskalere sine rettigheder til det højeste niveau i Windows: LocalSystem. Med disse rettigheder kan angriberen:
- Installere skadelig software (fx ransomware eller spyware) uden begrænsninger
- Slette eller ændre vigtige systemfiler og data
- Oprette skjulte bagdøre til fremtidig adgang
- Deaktivere antivirusprogrammer og sikkerhedsløsninger
- Kopiere følsomme oplysninger fra computeren
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) af det internationale klassificeringssystem CVSS. Angrebet er teknisk set enkelt at udføre, kræver ingen særlige rettigheder og behøver ingen handling fra andre brugere. Den eneste begrænsning er, at angriberen allerede skal have en brugerkonto på computeren — men det er ikke en høj barriere i mange virksomhedsnetværk. Konsekvenserne for fortrolighed, dataintegritet og systemtilgængelighed er alle vurderet som maksimale.
Hvad gør jeg nu?
Du bør handle hurtigt for at beskytte de computere i din virksomhed, der kører RealTimes Desktop Service 18.1.4. Følg disse trin:
- Kortlæg eksponering: Undersøg hvilke computere i din virksomhed der har RealTimes Desktop Service installeret. Spørg din IT-ansvarlige eller søg i jeres systemoversigt.
- Opdater eller afinstaller: Tjek om der findes en nyere version af RealTimes Desktop Service uden denne fejl. Opdater i så fald til den nyeste version. Bruges programmet ikke aktivt, bør det afinstalleres.
- Begræns lokal adgang: Sørg for, at medarbejdere kun har de brugerrettigheder de har brug for — undgå lokale administratorkonti til daglig brug.
- Begræns fjernadgang: Hvis computerne er tilgængelige via Remote Desktop eller lignende, bør du sikre, at kun autoriserede brugere har adgang, og at der bruges stærk godkendelse (fx to-faktor-login).
- Overvåg for unormale hændelser: Bed din IT-support om at holde øje med usædvanlig aktivitet på berørte computere, særligt nye eller ukendte processer der kører med systemrettigheder.
Handl inden for 7 dage
Vi anbefaler, at du straks identificerer alle computere i din virksomhed med RealTimes Desktop Service 18.1.4 installeret. Kontakt leverandøren af softwaren for at afklare, om der er en opdateret version uden sårbarheden. Indtil en opdatering foreligger, bør du minimere risikoen ved at sikre, at kun nødvendige brugere har lokal adgang til de berørte computere og ved at overvåge for unormal aktivitet. Har du brug for hjælp til vurderingen, er du velkommen til at kontakte os.
Tidslinje
Konkrete eksempler
Ondsindet program i delt mappe
En medarbejder med en standard brugerkonto opdager, at RealTimes Desktop Service er installeret, og at dens programsti indeholder et mellemrum uden anførselstegn. Medarbejderen placerer et ondsindet program med et strategisk valgt filnavn i en mappe, som Windows prøver før den rigtige. Næste gang computeren genstartes, kører Windows det ondsindede program med fuld systemadgang — uden at nogen opdager det.
Angriber via kompromitteret brugerkonto
En ekstern angriber har via phishing fået adgang til en medarbejders brugernavn og kodeord og logger på virksomhedens fjernskrivebord (Remote Desktop). Med den almindelige brugerkonto udnytter angriberen sårbarheden i RealTimes til at opnå systemrettigheder, installerer herefter ransomware og krypterer virksomhedens filer, inden alarmen går.
Vedvarende bagdør efter kompromittering
En angriber, der allerede har fået kortvarig adgang til en computer, bruger sårbarheden til at installere en skjult bagdør med systemrettigheder. Selvom den oprindelige adgang lukkes, kan angriberen vende tilbage når som helst via bagdøren — uden at blive opdaget af standard sikkerhedsværktøjer.
Ofte stillede spørgsmål
Hvad er en 'unquoted service path'-sårbarhed?
Når Windows starter en tjeneste (et baggrundsprogram), bruger det en sti til at finde programfilen — fx C:Program FilesRealTimesrpdsvc.exe. Hvis stien indeholder mellemrum og ikke er omgivet af anførselstegn, prøver Windows at gætte, hvor programmet ligger, ved at afprøve kortere stier først. En angriber kan udnytte dette ved at placere et ondsindet program et af de steder Windows prøver — og dermed narre Windows til at køre det forkerte program.
Skal angriberen fysisk sidde ved computeren?
Ikke nødvendigvis. Angrebet kræver en brugerkonto på computeren, men det kan angriberen have fået via fx en phishing-mail, et kompromitteret kodeord eller adgang via fjernskrivebord (Remote Desktop). Fysisk adgang er altså ikke et krav.
Er min virksomhed i fare, selvom vi bruger antivirus?
Antivirus kan opdage kendte ondsindede programmer, men beskytter ikke nødvendigvis mod denne type angreb, hvis angriberen bruger et skræddersyet eller ukendt program. Desuden opnår angriberen systemrettigheder, der potentielt kan bruges til at deaktivere sikkerhedsværktøjer. Opdatering og begrænsning af brugerrettigheder er den mest effektive beskyttelse.
Hvad er LocalSystem-rettigheder, og hvorfor er det farligt?
LocalSystem er Windows’ højeste interne rettighedsniveau — højere end selv en lokal administrator. Et program, der kører med LocalSystem-rettigheder, kan gøre næsten alt på computeren: installere software, slette filer, ændre indstillinger og deaktivere sikkerhedsprogrammer. Det er derfor en angriber med disse rettigheder reelt har fuld kontrol over maskinen.
Hvad gør jeg, hvis der endnu ikke er en opdatering til RealTimes Desktop Service?
Hvis der ikke findes en opdatering, bør du overveje at afinstallere programmet midlertidigt, hvis det ikke er forretningskritisk. Som alternativ kan din IT-ansvarlige manuelt rette stien i Windows-registreringsdatabasen ved at tilføje anførselstegn — men det kræver teknisk ekspertise. Kontakt os, hvis du har brug for hjælp.
Gælder sårbarheden alle versioner af RealTimes Desktop Service?
Ifølge de tilgængelige oplysninger er det specifikt version 18.1.4 af RealTimes Desktop Service, der er bekræftet sårbar. Det er uklart, om andre versioner er berørte. Vi anbefaler, at du tjekker hvilken version I bruger, og kontakter softwareleverandøren for afklaring.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
RealTimes Desktop Service 18.1.4 contains an unquoted service path vulnerability in the rpdsvc.exe binary that allows local attackers to escalate privileges. Attackers can place malicious executables in unquoted path directories to execute arbitrary code with LocalSystem privileges during service startup or system reboot.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
