CVE-2026-45176: Palo Alto Idira Privilege Manager sårbarhed
Fejl i Palo Alto Idira Endpoint Privilege Manager giver lokale angribere mulighed for at opnå fuld systemkontrol.
Hvad er det?
Idira Endpoint Privilege Manager er et sikkerhedsværktøj, der styrer hvilke programmer og handlinger medarbejdere må udføre på deres computer. I versioner ældre end 26.5 er der en fejl i den måde, selve sikkerhedssoftwaren kommunikerer internt og håndterer filer. En angriber, der allerede har adgang til computeren som almindelig bruger, kan udnytte denne fejl til at snyde softwaren og udføre handlinger med administratorrettigheder — altså de højeste rettigheder på systemet. Fejlen kræver ikke særlige tekniske færdigheder at udnytte og sker helt automatisk uden at brugeren skal gøre noget.
Hvem rammer det?
Sårbarheden rammer virksomheder, der bruger Palo Alto Networks Idira Endpoint Privilege Manager Agent i version ældre end 26.5 på enheder med Windows, macOS eller Linux. Det er typisk virksomheder, der aktivt arbejder med at begrænse medarbejdernes rettigheder på arbejdscomputere som en del af deres sikkerhedsstrategi. Hvis din virksomhed bruger dette produkt, bør du undersøge, hvilken version der er installeret på jeres enheder.
Hvad kan ske?
En angriber, der har adgang til en computer som almindelig bruger — fx via et kompromitteret medarbejderlogin — kan eskalere sine rettigheder til fuldstændig systemkontrol (administrator/root). Det betyder, at angriberen kan:
- Læse, ændre eller slette alle filer på computeren, inkl. fortrolige dokumenter
- Installere skadelig software eller bagdøre uden hindring
- Deaktivere sikkerhedssoftware på enheden
- Bruge computeren som springbræt til at angribe resten af virksomhedens netværk
Hvor alvorligt er det?
Sårbarheden er vurderet til 7,8 ud af 10 (Alvorlig) efter den internationale CVSS-skala. Alle tre kerneaspekter af sikkerhed er fuldt påvirket: fortrolighed, integritet og tilgængelighed. Angrebskompleksiteten er lav, og der kræves kun minimale rettigheder at starte med. Det eneste, der begrænser alvoren en smule, er at angriberen skal have lokal adgang til maskinen — altså være logget ind fysisk eller via fjernadgang. Det er dog en situation, der opstår hyppigt i praksis, fx ved et phishing-angreb der giver adgang til en medarbejderkonto.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed hurtigst muligt:
- Find ud af om I er berørt: Kontakt din IT-ansvarlige eller leverandør og få bekræftet, om I bruger Idira Endpoint Privilege Manager Agent, og hvilken version der er installeret.
- Opdatér til version 26.5.0 eller nyere: Palo Alto Networks har udsendt en opdatering, der lukker sårbarheden. Prioritér at få denne installeret på alle berørte enheder.
- Gennemgå brugerkonti med adgang til berørte maskiner: Tjek om der er konti med unødvendige rettigheder, og deaktivér konti, der ikke er i brug.
- Overvåg for mistænkelig aktivitet: Bed din IT-afdeling om at tjekke logfiler for usædvanlige forsøg på rettighedseskalering (at skifte fra almindelig bruger til administrator).
- Læs CyberArks sikkerhedsbulletin CA26-19: Her finder du leverandørens officielle vejledning og yderligere tekniske detaljer.
Opdatér hurtigst muligt
Vi anbefaler, at du prioriterer opdateringen til version 26.5.0 og får den rullet ud på alle enheder med softwaren installeret inden for de næste dage. Sårbarheden er særlig farlig, fordi den rammer selve det sikkerhedsværktøj, der er sat til at beskytte jeres computere — en angriber der udnytter den, kan effektivt neutralisere jeres forsvarslinje. Har du brug for hjælp til at kortlægge omfanget eller gennemføre opdateringen, er du velkommen til at kontakte os.
Tidslinje
Konkrete eksempler
Phishet medarbejder åbner døren
En medarbejder modtager en phishing-mail og afgiver sine loginoplysninger til en angriber. Angriberen logger ind på medarbejderens computer med de almindelige brugerrettigheder. Ved hjælp af CVE-2026-45176 manipulerer angriberen Idira-agentens interne kommunikation og opnår fuld administratoradgang. Herfra installerer angriberen ransomware, der krypterer alle filer på computeren og spreder sig til netværksdrev.
Misfornøjet medarbejder eskalerer rettigheder
En medarbejder, der er ved at forlade virksomheden, ønsker at kopiere fortrolige kundedatabaser. Vedkommende har kun adgang til egne filer, men udnytter sårbarheden fra sin egen computerkonto til at opnå systemadministratorrettigheder. Med disse rettigheder tilgår medarbejderen databaser og dokumenter, som ellers er utilgængelige, og eksporterer data inden afgang.
Skadelig kode omgår sikkerhedssoftware
En angriber får via en sårbarhed i en webbrowser afviklet skadelig kode på en medarbejders computer med begrænsede rettigheder. Koden udnytter CVE-2026-45176 til at eskalere til administratorniveau og deaktiverer derefter både Idira-agenten og antivirussoftwaren. Angriberen etablerer en permanent bagdør og kan fremover tilgå systemet uden at blive opdaget.
Ofte stillede spørgsmål
Hvad er Idira Endpoint Privilege Manager?
Det er et sikkerhedsprodukt fra Palo Alto Networks, der hjælper virksomheder med at styre, hvad medarbejdere må gøre på deres arbejdscomputere. Det bruges typisk til at forhindre, at medarbejdere — bevidst eller ved et uheld — installerer farlig software eller ændrer vigtige systemindstillinger.
Er vi i fare, selvom ingen udefra kan komme ind på vores netværk?
Risikoen er reduceret, men ikke elimineret. Angrebets udgangspunkt er en lokalt logget ind bruger, hvilket inkluderer egne medarbejdere, der handler ondsindet, eller medarbejdere, hvis konto er blevet kompromitteret via fx phishing. Intern adgang er tilstrækkelig til at udløse sårbarheden.
Hvordan tjekker jeg, hvilken version vi har?
Din IT-ansvarlige kan typisk finde versionen via softwarens administrationskonsol eller ved at se i listen over installerede programmer på de berørte computere. Du kan også kontakte jeres leverandør af softwaren og bede dem bekræfte versionsnummeret på tværs af jeres enheder.
Kan vi nøjes med en midlertidig løsning, hvis vi ikke kan opdatere med det samme?
Palo Alto Networks anbefaler opdatering som den primære løsning. Som midlertidig foranstaltning kan du begrænse lokal adgang til berørte maskiner og sørge for skærpet overvågning. Kontakt leverandøren eller Auroa for vejledning til jeres specifikke situation, hvis en øjeblikkelig opdatering ikke er mulig.
Påvirker det alle vores computere — Windows, Mac og Linux?
Ja, sårbarheden er bekræftet på alle tre styresystemer: Windows, macOS og Linux. Alle enheder i jeres virksomhed, der kører en berørt version af softwaren, bør opdateres uanset operativsystem.
Ramte produkter
Paloaltonetworks — Idira Endpoint Privilege Manager
< 26.5.0
Apple — Macos
–
Linux — Linux Kernel
–
Microsoft — Windows
–
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Idira Endpoint Privilege Manager Agent versions prior to 26.5 exhibit improper access control within high-privileged agent components. A local, low-privileged attacker could exploit this by manipulating an internal communication mechanism or file operation. Under specific circumstances, this could potentially allow the attacker to bypass permission restrictions and execute unauthorized local actions with elevated privileges. CyberArk Security Bulletin: CA26-19
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
