CVE-2020-37253: Winstep Xtreme privilegieeskalering
Fejl i Winstep Xtreme giver lokale angribere mulighed for at overtage din computer med fulde administratorrettigheder.
Hvad er det?
CVE-2020-37253 er en sårbarhed i softwaren Winstep Xtreme 18.06.0096 — et program til at tilpasse Windows-skrivebordet. Fejlen skyldes en såkaldt unquoted service path-svaghed (manglende anførselstegn i en systemsti), som gør det muligt for en angriber med adgang til computeren at placere et ondsindet program på en bestemt placering på harddisken. Næste gang en Windows-tjeneste (baggrundsprogram) starter, kører den ondsindede fil med de højeste systemrettigheder — uden at du opdager det. Det kræver, at angriberen allerede har en form for adgang til maskinen, men ikke nødvendigvis administratorrettigheder.
Hvem rammer det?
Sårbarheden rammer virksomheder og privatpersoner, der bruger Winstep Xtreme version 18.06.0096 på Windows-computere. Særligt udsatte er arbejdspladser, hvor flere medarbejdere deler maskiner, eller hvor eksterne konsulenter eller vikarer har adgang til computerne — fordi angrebet netop kræver lokal adgang. Hvis din virksomhed bruger Winstep Xtreme til at tilpasse medarbejdernes Windows-skriveborde, bør du tjekke versionen med det samme.
Hvad kan ske?
En angriber, der udnytter denne sårbarhed, kan:
- Overtage computeren fuldstændigt med LocalSystem-rettigheder (de højeste mulige systemrettigheder i Windows)
- Installere malware, ransomware eller spyware uden hindring
- Stjæle adgangskoder, forretningsdata og fortrolige filer
- Oprette skjulte administratorkonti til fremtidig adgang
- Sprede sig videre til andre computere på virksomhedens netværk
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) på den internationale CVSS-skala. Selvom angriberen skal have fysisk eller fjernadgang til computeren i forvejen, er selve udnyttelsen teknisk set nem — den kræver ingen særlig ekspertise og ingen brugerinteraktion. Konsekvenserne er maksimale: fuld kontrol over fortrolighed, integritet og tilgængelighed på den ramte maskine. Det er med andre ord en fejl, der skal tages alvorligt, selvom den ikke kan udnyttes udefra via internettet alene.
Hvad gør jeg nu?
Du bør handle hurtigt. Her er hvad du gør:
- Tjek om din virksomhed bruger Winstep Xtreme: Søg efter programmet i Windows’ programliste (Indstillinger → Apps) på alle computere.
- Opdatér til nyeste version: Besøg Winsteps officielle hjemmeside og download den seneste udgave, som lukker denne sårbarhed.
- Begræns lokal adgang: Sørg for, at medarbejdere kun har de brugerrettigheder, de har brug for — ingen unødige lokale administratorkonti.
- Gennemgå adgangslogge: Tjek om der er sket mistænkelig aktivitet på de berørte computere, f.eks. uventede programinstallationer.
- Kontakt Auroa: Er du usikker på om I er berørt, eller ønsker du hjælp til at gennemgå jeres systemer, er du velkommen til at kontakte os.
Opdatér inden for 7 dage
Auroa anbefaler, at du opdaterer Winstep Xtreme til nyeste version hurtigst muligt. Kombinér opdateringen med en gennemgang af, hvem der har lokal adgang til virksomhedens computere — princippet om mindste privilegium (kun give folk adgang til det, de reelt har brug for) er en effektiv barriere mod denne type angreb. Er du i tvivl om, hvorvidt jeres systemer er berørt, hjælper Auroa dig gerne med en vurdering.
Tidslinje
Konkrete eksempler
Medarbejder med begrænset adgang overtager computeren
En medarbejder med en almindelig Windows-brugerkonto (ikke administrator) opdager, at Winstep Xtreme er installeret på sin arbejdscomputer. Han placerer et ondsindet program med et strategisk navn i mappen C:Program Files. Næste gang computeren genstartes og Winstep Xtreme-tjenesten starter, kører Windows utilsigtet det ondsindede program med fulde systemrettigheder — og medarbejderen har nu skjult fuld kontrol over maskinen.
Angriber eskalerer adgang efter phishing
En ekstern angriber sender en phishing-mail til en receptionist, der klikker på et link og utilsigtet installerer et lille bagdørsprogram. Angriberen har nu begrænset adgang til computeren. Ved at udnytte CVE-2020-37253 eskalerer angriberen sine rettigheder til LocalSystem og kan nu bevæge sig videre til virksomhedens fælles netværksdrev og andre computere på det interne netværk.
Ransomware-angreb med fuld systemkontrol
En angriber, der har fået indledende fodfæste på én maskine via en svag adgangskode, bruger sårbarheden til at få LocalSystem-rettigheder. Med denne adgang deaktiverer angriberen antivirusprogrammet, krypterer alle filer på maskinen og det tilknyttede netværksdrev og efterlader en løsesumsnote. Fordi angrebet skete med de højeste rettigheder, er Windows’ egne beskyttelsesmekanismer omgået.
Ofte stillede spørgsmål
Hvad er en 'unquoted service path'-sårbarhed?
Det er en teknisk fejl, hvor en programsti i Windows ikke er omgivet af anførselstegn. Det betyder, at Windows kan forveksle programnavne og utilsigtet køre en ondsindet fil i stedet for det rigtige program. Det er en velkendt fejltype, som er relativt nem at udnytte, hvis man har adgang til maskinen.
Kan nogen udnytte dette udefra via internettet?
Nej — ikke direkte. Angriberen skal have lokal adgang til computeren, enten fysisk eller via et andet program der allerede er kompromitteret. Det reducerer risikoen lidt, men hvis en medarbejder f.eks. klikker på en phishing-mail og giver en angriber indledende adgang, kan denne sårbarhed bruges til at eskalere rettighederne fuldt ud.
Gælder det alle versioner af Winstep Xtreme?
Den dokumenterede sårbarhed gælder specifikt version 18.06.0096. Nyere versioner af Winstep Xtreme har adresseret dette problem. Tjek din version under programmets ‘Om’-menu eller i Windows’ programliste, og opdatér hvis du er på den berørte version.
Vi har antivirusprogram — er vi så beskyttet?
Antivirus kan hjælpe med at opdage kendte ondsindede filer, men det er ikke en garanti. Sofistikerede angribere kan omgå antivirus. Den bedste beskyttelse er at opdatere det sårbare program og begrænse brugerrettigheder, så angribere ikke let kan placere filer i systemkritiske mapper.
Hvad er LocalSystem-rettigheder, og hvorfor er det farligt?
LocalSystem er den højeste mulige konto i Windows — selv højere end en normal administrator. Et program, der kører med LocalSystem-rettigheder, kan gøre næsten alt på computeren: slette filer, installere software, oprette nye brugere og tilgå alle data. Det er derfor særligt kritisk, at en angriber ikke får mulighed for at eskalere til dette niveau.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Winstep 18.06.0096 contains an unquoted service path vulnerability in the Winstep Xtreme Service that allows local attackers to escalate privileges. Attackers can place malicious executables in the Program Files directory to be executed with LocalSystem privileges when the service starts.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
