CVE-2025-71326: Alvorlig fejl i AVAST Antivirus 25.11
Fejl i AVAST Antivirus 25.11 lader lokale brugere overtage fuld kontrol over din Windows-computer.
Hvad er det?
CVE-2025-71326 er en sikkerhedsfejl i AVAST Antivirus version 25.11. Fejlen skyldes et såkaldt ‘unquoted service path’ (en forkert skrevet filsti i Windows-tjenestekonfigurationen, der mangler anførselstegn). Når Windows forsøger at starte AVAST’s SecureLine-tjeneste, kan det misfortolke filstien og i stedet køre et ondsindet program, som en angriber har placeret et forudsigeligt sted på computeren. Resultatet er, at angriberens kode afvikles med de højeste rettigheder i Windows — kaldet SYSTEM — hvilket svarer til fuld kontrol over maskinen.
Hvem rammer det?
Sårbarheden rammer virksomheder og privatpersoner, der bruger AVAST Antivirus version 25.11 på Windows-computere. For at udnytte fejlen skal angriberen allerede have adgang til computeren som en almindelig (ikke-administrator) bruger. Det betyder, at risikoen er størst i miljøer, hvor flere brugere deler computere, eller hvor medarbejdere har lokale brugerkonti — hvilket er normalt i de fleste SMV’er.
Hvad kan ske?
Hvis sårbarheden udnyttes, kan en angriber med en simpel brugerkonto opgradere sine egne rettigheder til det højeste niveau på Windows (SYSTEM). Det giver mulighed for at:
- Installere malware eller ransomware uden begrænsninger
- Slette eller kryptere alle filer på computeren
- Deaktivere antivirusprogrammet selv
- Oprette skjulte bagdøre til fremtidige angreb
- Tilgå alle lagrede adgangskoder og følsomme data på maskinen
Hvor alvorligt er det?
CVSS-score er 7.8 ud af 10, hvilket klassificeres som alvorlig. Kompleksiteten er lav, og angriberen behøver kun en almindelig brugerkonto — ingen administratorrettigheder. Der kræves ingen handling fra andre brugere for at gennemføre angrebet. Det er dog vigtigt at bemærke, at angriberen skal have fysisk eller logisk adgang til maskinen i forvejen, hvilket begrænser eksponeringen lidt sammenlignet med fejl, der kan udnyttes udefra over internettet.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed hurtigst muligt:
- Tjek versionen af AVAST Antivirus på alle virksomhedens computere — find versionen i programmets indstillinger eller i Windows’ liste over installerede programmer.
- Opdatér AVAST Antivirus til den nyeste tilgængelige version via programmets egne opdateringsfunktion eller AVAST’s hjemmeside.
- Gennemgå brugerrettigheder — sørg for, at medarbejdere kun har de rettigheder, de har brug for (princippet om mindste privilegium).
- Begræns lokal adgang — deaktivér ubrugte lokale brugerkonti og sørg for, at fremmede ikke kan logge ind på virksomhedens computere.
- Overvåg for mistænkelig aktivitet — hold øje med usædvanlige programkørsler eller ændringer i systemtjenester.
Opdatér inden for 7 dage
Vi anbefaler, at du opdaterer AVAST Antivirus på alle berørte computere hurtigst muligt — helst inden for de næste syv dage. Selvom angriberen skal have lokal adgang til maskinen, er dette en reel risiko i virksomheder med flere medarbejdere og delte computere. Kombinér opdateringen med en gennemgang af, hvem der har adgang til hvilke maskiner, så du minimerer angrevsfladen fremadrettet.
Tidslinje
Konkrete eksempler
Medarbejder opgraderer egne rettigheder
En medarbejder med en almindelig Windows-brugerkonto placerer et ondsindet program i en mappe, som Windows fejlagtigt tjekker, når AVAST’s SecureLine-tjeneste startes. Næste gang computeren genstarter, kører det ondsindede program automatisk med SYSTEM-rettigheder — og medarbejderen har nu fuld kontrol over maskinen uden at kende administratoradgangskoden.
Angriber forstærker adgang efter phishing
En angriber sender en phishing-mail til en medarbejder, der klikker på et ondsindet link og dermed giver angriberen adgang til medarbejderens brugerkonto. Med denne begrænsede adgang udnytter angriberen AVAST-sårbarheden til at eskalere til SYSTEM-niveau, hvorefter de installerer ransomware der krypterer hele virksomhedens computer og kræver løsesum.
Skjult bagdør installeres uden spor
En angriber med lokal adgang udnytter fejlen til at installere en skjult bagdør (et program der giver vedvarende fjernadgang) med SYSTEM-rettigheder. Da programmet kører med de højeste rettigheder, kan det deaktivere antivirusprogrammet og slette egne logfiler, så det bliver næsten umuligt at opdage uden en professionel sikkerhedsgennemgang.
Ofte stillede spørgsmål
Skal jeg være bekymret, selvom vi har få ansatte?
Ja, også i mindre virksomheder er det vigtigt at opdatere. En misfornøjet medarbejder, en kompromitteret brugerkonto eller en angriber, der har fået fodfæste via phishing, kan alle udnytte denne fejl til at overtage computeren fuldstændigt. Opdateringen er hurtig og gratis, så der er ingen god grund til at vente.
Hvad er et 'unquoted service path', og hvorfor er det farligt?
Når Windows starter en tjeneste (et program der kører i baggrunden), bruger den en filsti til at finde programmet. Hvis stien indeholder mellemrum og ikke er omgivet af anførselstegn, kan Windows misforstå, hvor programmet ligger, og i stedet køre et andet program med samme navn på en forkert placering. En angriber kan udnytte dette ved at placere et ondsindet program netop der, Windows kigger forkert.
Kan en ekstern hacker udnytte dette over internettet?
Nej, ikke direkte. Angriberen skal allerede have adgang til computeren som lokal bruger. Det betyder, at sårbarheden typisk udnyttes af en intern trussel (medarbejder) eller af en angriber, der allerede har fået adgang via f.eks. phishing eller en anden sårbarhed. Det er stadig alvorligt, men risikoen fra tilfældige internettrusler er begrænset.
Virker vores antivirusprogram stadig, mens vi venter på opdatering?
Ja, AVAST Antivirus fungerer normalt og beskytter stadig mod kendte trusler, mens du venter. Sårbarheden handler om rettigheder på selve computeren — ikke om antivirusets evne til at opdage malware. Du bør dog prioritere opdateringen, da en angriber med lokal adgang potentielt kan deaktivere antivirusprogrammet, hvis de udnytter fejlen.
Hvordan ved jeg, om vi allerede er blevet angrebet?
Det kan være svært at opdage uden it-faglig hjælp. Tegn på udnyttelse kan være usædvanlige processer der kører med SYSTEM-rettigheder, nye ukendte brugerkonti, eller programmer der er installeret uden din viden. Kontakt en it-sikkerhedskonsulent, hvis du har mistanke om, at noget er galt.
Er der andre antivirusprogrammer, der har samme fejl?
‘Unquoted service path’-fejl er en velkendt fejltype, der historisk har ramt mange forskellige programmer og tjenester på Windows. Det er ikke unikt for AVAST, men du bør tjekke, om dine øvrige programmer også er opdaterede. En it-sikkerhedsgennemgang kan afsløre lignende problemer på tværs af din virksomheds software.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
AVAST Antivirus 25.11 contains an unquoted service path vulnerability in the SecureLine service that allows local non-privileged users to execute code with elevated SYSTEM privileges. Attackers can exploit the unquoted binary path in the service configuration to inject malicious executables that execute with high-level system permissions.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
