CVE-2026-50508
Moderat

CVE-2026-50508: Sårbarhed i Windows NTLM

Sårbarhed i Windows NTLM kan afsløre følsomme oplysninger for angribere via netværket uden særlige rettigheder.

CVSS Score
6.5
Offentliggjort
09/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 7 dage

Hvad er det?

CVE-2026-50508 er en sårbarhed i Windows’ indbyggede godkendelsessystem kaldet NTLM (Net LAN Manager — det system Windows bruger til at bekræfte brugeres identitet på et netværk). Fejlen betyder, at en angriber uden nogen form for forudgående adgang kan narre Windows til at udlevere følsomme oplysninger — eksempelvis adgangskoder i krypteret form — blot ved at få en bruger til at klikke på et ondsindet link eller åbne en fil. Selve angrebet kræver ingen særlige rettigheder fra angriberens side, men kræver at en bruger foretager en handling, f.eks. åbner en e-mail eller besøger en hjemmeside.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der bruger følgende Microsoft-produkter:

  • Windows 10 version 1607
  • Windows 11 version 22H2
  • Windows Server 2004, 2012, 2016 og 2022

Er du en SMV med Windows-computere eller -servere, er der god sandsynlighed for, at du er berørt. Særligt Windows Server 2012 og 2012 R2 er kritiske, da de er udgåede produkter uden automatisk support fra Microsoft.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan vedkommende:

  • Stjæle krypterede versioner af dine brugeres adgangskoder (såkaldte NTLM-hashes), som efterfølgende kan knækkes eller genbruges direkte til at logge ind på systemer
  • Udgive sig for at være en legitim bruger på dit netværk (spoofing)
  • Få adgang til følsomme data, interne systemer eller filer som brugeren normalt har adgang til

Angrebet påvirker udelukkende fortrolighed — dine data kan altså læses og stjæles, men selve systemerne ændres eller lukkes ikke ned som direkte konsekvens af denne sårbarhed alene.

Hvor alvorligt er det?

Sårbarheden er vurderet til moderat (CVSS 6.5 ud af 10). Det er ikke den mest kritiske kategori, men den bør tages alvorligt af flere årsager:

  • Angrebet kan udføres over internettet uden nogen form for forudgående adgang til dit system
  • Det er teknisk enkelt at udføre — angriberen behøver blot at narre en bruger til at interagere med noget ondsindet
  • Konsekvensen er høj fortrolighedsrisiko — dine adgangskoder og data kan kompromitteres
  • Windows Server 2012 og 2012 R2 modtager ikke længere sikkerhedsopdateringer fra Microsoft, hvilket gør disse systemer særligt udsatte

Hvad gør jeg nu?

Du bør handle inden for den nærmeste uge. Følg disse trin:

  1. Opdatér Windows med det samme: Installer de seneste sikkerhedsopdateringer fra Microsoft på alle berørte systemer. Relevante versioner: Windows 10 til 10.0.14393.9234 eller nyere, Windows 11 til 10.0.22631.7219 eller nyere, Windows Server 2022 til 10.0.20348.5256 eller nyere.
  2. Tjek dine servere: Er du stadig på Windows Server 2012 eller 2012 R2, skal du overveje en opgradering hurtigst muligt, da disse systemer ikke modtager sikkerhedsrettelser.
  3. Overvåg for mistænkelig aktivitet: Bed din IT-ansvarlige eller -leverandør om at tjekke logfiler for usædvanlige godkendelsesforsøg på dit netværk.
  4. Informér dine medarbejdere: Gør dem opmærksomme på ikke at klikke på links eller åbne filer fra ukendte afsendere, da angrebet kræver en brugerhandling.
  5. Overvej at begrænse NTLM: Hvis det er muligt i din infrastruktur, kan du i samarbejde med din IT-leverandør vurdere at begrænse brugen af NTLM til fordel for nyere og sikrere godkendelsesmetoder som Kerberos.
Tidsfrist

Opdatér inden for 7 dage

Sådan ser Auroa det

Auroas anbefaling er klar: Installer Microsofts sikkerhedsopdateringer på alle berørte Windows-systemer så hurtigt som muligt — helst inden for denne uge. Har du Windows Server 2012 eller 2012 R2 i drift, bør du allerede nu planlægge en opgradering til en støttet version, da disse systemer er uden beskyttelse. Kontakt din IT-leverandør, hvis du er i tvivl om, hvilke systemer der er berørte, eller om din virksomhed allerede er opdateret.

Tidslinje

09/06/2026
CVE offentliggjort af NVD
Microsoft og NVD offentliggør CVE-2026-50508 som en del af Microsofts månedlige Patch Tuesday-udgivelse. Sikkerhedsrettelser frigives samtidig.
09/06/2026
Sikkerhedsopdatering tilgængelig
Microsoft udgiver patches til alle berørte og understøttede Windows-versioner. Windows Server 2012 og 2012 R2 er ikke inkluderet uden aktiv Extended Security Updates-aftale.
10/06/2026
Proof-of-concept forventes offentliggjort
Baseret på historiske mønstre ved NTLM-sårbarheder offentliggøres tekniske demonstrationer typisk inden for 24-72 timer efter Patch Tuesday, hvilket øger risikoen for aktiv udnyttelse.
16/06/2026
Kritisk tidsfrist for opdatering
Auroa anbefaler, at alle berørte systemer er opdateret senest en uge efter offentliggørelsen for at minimere risikoen for udnyttelse i det vindue, der opstår mellem offentliggørelse og patching.

Konkrete eksempler

Phishing-e-mail med ondsindet link

En angriber sender en e-mail til en medarbejder i din virksomhed med et link til en tilsyneladende harmløs fil eller side. Når medarbejderen klikker på linket, udløses en NTLM-godkendelsesanmodning i baggrunden, som sender medarbejderens krypterede adgangskode til angriberens server. Angriberen kan derefter forsøge at knække koden eller bruge den direkte til at logge ind på virksomhedens systemer.

Ondsindet fil delt via virksomhedens netværk

En angriber, der har fået fodfæste på en computer i dit netværk, placerer en ondsindet fil i en delt mappe. Når en anden medarbejder åbner mappen i Windows Stifinder, forsøger Windows automatisk at hente et ikon til filen — og i den proces lækkes medarbejderens NTLM-godkendelsesoplysninger til angriberen. Dette kan ske helt uden at medarbejderen åbner selve filen.

Kompromitteret hjemmeside udnytter besøgende

En medarbejder besøger en hjemmeside, der er blevet hacket og indeholder skjult ondsindet kode. Koden tvinger brugerens Windows-maskine til at sende en NTLM-godkendelsesanmodning til en ekstern server kontrolleret af angriberen. Angriberen modtager nu en krypteret version af medarbejderens Windows-adgangskode, som kan bruges til videre angreb mod virksomhedens infrastruktur.

Ofte stillede spørgsmål

Ramte produkter

Microsoft — Windows 10 1607

< 10.0.14393.9234

Microsoft — Windows 11 22h2

< 10.0.22631.7219

Microsoft — Windows Server 2004

< 10.0.19045.7417

Microsoft — Windows Server 2012

Microsoft — Windows Server 2012

r2

Microsoft — Windows Server 2016

< 10.0.14393.9234

Microsoft — Windows Server 2022

< 10.0.20348.5256

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
REQUIRED
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
NONE
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

CWE-svaghedstyper

CWE-200

Original NVD-beskrivelse (engelsk)

Exposure of sensitive information to an unauthorized actor in Windows NTLM allows an unauthorized attacker to perform spoofing over a network.

Referencer & kilder

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
6.5
Visning
Hurtige fakta
CVE-ID
CVE-2026-50508
Offentliggjort
09/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.