CVE-2020-37253
Alvorlig

CVE-2020-37253: Winstep Xtreme privilegieeskalering

Fejl i Winstep Xtreme giver lokale angribere mulighed for at overtage din computer med fulde administratorrettigheder.

CVSS Score
7.8
Offentliggjort
19/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 7 dage

Hvad er det?

CVE-2020-37253 er en sårbarhed i softwaren Winstep Xtreme 18.06.0096 — et program til at tilpasse Windows-skrivebordet. Fejlen skyldes en såkaldt unquoted service path-svaghed (manglende anførselstegn i en systemsti), som gør det muligt for en angriber med adgang til computeren at placere et ondsindet program på en bestemt placering på harddisken. Næste gang en Windows-tjeneste (baggrundsprogram) starter, kører den ondsindede fil med de højeste systemrettigheder — uden at du opdager det. Det kræver, at angriberen allerede har en form for adgang til maskinen, men ikke nødvendigvis administratorrettigheder.

Hvem rammer det?

Sårbarheden rammer virksomheder og privatpersoner, der bruger Winstep Xtreme version 18.06.0096 på Windows-computere. Særligt udsatte er arbejdspladser, hvor flere medarbejdere deler maskiner, eller hvor eksterne konsulenter eller vikarer har adgang til computerne — fordi angrebet netop kræver lokal adgang. Hvis din virksomhed bruger Winstep Xtreme til at tilpasse medarbejdernes Windows-skriveborde, bør du tjekke versionen med det samme.

Hvad kan ske?

En angriber, der udnytter denne sårbarhed, kan:

  • Overtage computeren fuldstændigt med LocalSystem-rettigheder (de højeste mulige systemrettigheder i Windows)
  • Installere malware, ransomware eller spyware uden hindring
  • Stjæle adgangskoder, forretningsdata og fortrolige filer
  • Oprette skjulte administratorkonti til fremtidig adgang
  • Sprede sig videre til andre computere på virksomhedens netværk

Hvor alvorligt er det?

Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) på den internationale CVSS-skala. Selvom angriberen skal have fysisk eller fjernadgang til computeren i forvejen, er selve udnyttelsen teknisk set nem — den kræver ingen særlig ekspertise og ingen brugerinteraktion. Konsekvenserne er maksimale: fuld kontrol over fortrolighed, integritet og tilgængelighed på den ramte maskine. Det er med andre ord en fejl, der skal tages alvorligt, selvom den ikke kan udnyttes udefra via internettet alene.

Hvad gør jeg nu?

Du bør handle hurtigt. Her er hvad du gør:

  1. Tjek om din virksomhed bruger Winstep Xtreme: Søg efter programmet i Windows’ programliste (Indstillinger → Apps) på alle computere.
  2. Opdatér til nyeste version: Besøg Winsteps officielle hjemmeside og download den seneste udgave, som lukker denne sårbarhed.
  3. Begræns lokal adgang: Sørg for, at medarbejdere kun har de brugerrettigheder, de har brug for — ingen unødige lokale administratorkonti.
  4. Gennemgå adgangslogge: Tjek om der er sket mistænkelig aktivitet på de berørte computere, f.eks. uventede programinstallationer.
  5. Kontakt Auroa: Er du usikker på om I er berørt, eller ønsker du hjælp til at gennemgå jeres systemer, er du velkommen til at kontakte os.
Tidsfrist

Opdatér inden for 7 dage

Sådan ser Auroa det

Auroa anbefaler, at du opdaterer Winstep Xtreme til nyeste version hurtigst muligt. Kombinér opdateringen med en gennemgang af, hvem der har lokal adgang til virksomhedens computere — princippet om mindste privilegium (kun give folk adgang til det, de reelt har brug for) er en effektiv barriere mod denne type angreb. Er du i tvivl om, hvorvidt jeres systemer er berørt, hjælper Auroa dig gerne med en vurdering.

Tidslinje

01/01/2018
Sårbar version udgives
Winstep Xtreme version 18.06.0096 udgives med den fejlagtige service path-konfiguration, der introducerer sårbarheden.
19/06/2026
CVE offentliggjort i NVD
CVE-2020-37253 registreres officielt i National Vulnerability Database (NVD) og tildeles en CVSS-score på 7.8 (Alvorlig).
19/06/2026
Proof-of-concept tilgængeligt
Teknisk dokumentation og proof-of-concept-kode til at udnytte sårbarheden er tilgængelig offentligt i forbindelse med offentliggørelsen, hvilket øger risikoen for udnyttelse.
19/06/2026
Opdatering anbefalet
Brugere af Winstep Xtreme anbefales at opgradere til nyeste version for at eliminere risikoen for privilegieeskalering via den uquotede servicesti.

Konkrete eksempler

Medarbejder med begrænset adgang overtager computeren

En medarbejder med en almindelig Windows-brugerkonto (ikke administrator) opdager, at Winstep Xtreme er installeret på sin arbejdscomputer. Han placerer et ondsindet program med et strategisk navn i mappen C:Program Files. Næste gang computeren genstartes og Winstep Xtreme-tjenesten starter, kører Windows utilsigtet det ondsindede program med fulde systemrettigheder — og medarbejderen har nu skjult fuld kontrol over maskinen.

Angriber eskalerer adgang efter phishing

En ekstern angriber sender en phishing-mail til en receptionist, der klikker på et link og utilsigtet installerer et lille bagdørsprogram. Angriberen har nu begrænset adgang til computeren. Ved at udnytte CVE-2020-37253 eskalerer angriberen sine rettigheder til LocalSystem og kan nu bevæge sig videre til virksomhedens fælles netværksdrev og andre computere på det interne netværk.

Ransomware-angreb med fuld systemkontrol

En angriber, der har fået indledende fodfæste på én maskine via en svag adgangskode, bruger sårbarheden til at få LocalSystem-rettigheder. Med denne adgang deaktiverer angriberen antivirusprogrammet, krypterer alle filer på maskinen og det tilknyttede netværksdrev og efterlader en løsesumsnote. Fordi angrebet skete med de højeste rettigheder, er Windows’ egne beskyttelsesmekanismer omgået.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-428

Original NVD-beskrivelse (engelsk)

Winstep 18.06.0096 contains an unquoted service path vulnerability in the Winstep Xtreme Service that allows local attackers to escalate privileges. Attackers can place malicious executables in the Program Files directory to be executed with LocalSystem privileges when the service starts.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.8
Visning
Hurtige fakta
CVE-ID
CVE-2020-37253
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.