CVE-2016-20085
Alvorlig

CVE-2016-20085: Realtek HD Audio Driver sårbarhed

Fejl i Realtek HD Audio-driver giver lokale angribere mulighed for at overtage din computer med systemrettigheder.

CVSS Score
7.8
Offentliggjort
19/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 14 dage

Hvad er det?

Realtek High Definition Audio Driver version 6.0.1.6730 har en fejl kaldet ‘unquoted service path’ (en sti til et program der ikke er sat i anførselstegn). Windows leder efter programfiler langs denne sti, og hvis anførselstegn mangler, kan Windows forveksle en ondsindet fil med den rigtige. En angriber med almindelig brugeradgang kan placere et skadeligt program i den forkerte sti, og næste gang tjenesten genstartes, kører det skadelige program med fulde systemrettigheder — som om det var operativsystemet selv.

Hvem rammer det?

Alle Windows-computere med Realtek HD Audio Driver version 6.0.1.6730 installeret er potentielt sårbare. Realtek HD Audio er en meget udbredt lydchip, der sidder i et stort antal stationære pc’er og bærbare computere fra mange producenter — herunder Dell, HP, Lenovo og Asus. Risikoen er størst, hvis en angriber allerede har fysisk eller fjernadgang til computeren med en almindelig brugerkonto.

Hvad kan ske?

En angriber der udnytter denne sårbarhed kan:

  • Opnå fuld kontrol over computeren med de højeste systemrettigheder (såkaldt ‘LocalSystem’)
  • Installere skadelig software, ransomware eller bagdøre uden at blive opdaget
  • Læse, ændre eller slette alle filer på computeren
  • Sprede sig videre til andre systemer på jeres netværk
  • Omgå sikkerhedsprogrammer, da angrebet kører som selve operativsystemet

Hvor alvorligt er det?

Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) af det internationale sikkerhedsorgan CVSS. Angrebet kræver ikke avancerede tekniske færdigheder, og kompleksiteten er lav. Det kræver dog, at angriberen allerede har adgang til computeren med en almindelig brugerkonto — det kan eksempelvis være en utilfreds medarbejder, en ekstern konsulent eller en angriber der har fået fodfæste via phishing. Konsekvenserne er til gengæld meget alvorlige: fuld kontrol over fortrolighed, integritet og tilgængelighed af alle data på maskinen.

Hvad gør jeg nu?

Du bør handle hurtigt. Her er hvad du konkret gør:

  1. Identificér sårbare computere: Bed din IT-ansvarlige eller leverandør om at tjekke, om Realtek HD Audio Driver version 6.0.1.6730 er installeret på jeres computere. Det kan gøres via Windows Enhedshåndtering eller et IT-administrationssystem.
  2. Opdatér driveren: Hent den nyeste version af Realtek HD Audio-driveren fra din computerproducents hjemmeside (f.eks. Dell, HP eller Lenovo) eller fra Realteks officielle side. Installer opdateringen på alle berørte enheder.
  3. Begræns lokale brugerrettigheder: Sørg for at medarbejdere kun har de rettigheder de har brug for — ingen bør have administratorrettigheder til daglig brug, medmindre det er nødvendigt.
  4. Overvåg for mistænkelig aktivitet: Gennemgå logfiler for uventede programkørsler eller tjenestegenstarter, særligt på maskiner med følsomme data.
  5. Kontakt jeres IT-leverandør: Hvis I er i tvivl om status, så kontakt jeres IT-partner og bed om en gennemgang af berørte systemer.
Tidsfrist

Opdatér inden for 14 dage

Sådan ser Auroa det

Auroa anbefaler, at du prioriterer opdatering af Realtek HD Audio-driveren på alle berørte Windows-computere hurtigst muligt. Selvom angrebet kræver lokal adgang, er det en lav barriere i mange virksomheder — særligt hvis I har medarbejdere, konsulenter eller gæster der bruger jeres udstyr. Kombinér opdateringen med en gennemgang af, hvem der har hvilke rettigheder på jeres computere, så I minimerer risikoen fremadrettet.

Tidslinje

19/06/2026
CVE offentliggjort
CVE-2016-20085 blev officielt registreret og offentliggjort i NVD-databasen med en CVSS-score på 7.8 (Alvorlig).
01/01/2016
Sårbarhed opstår
Realtek HD Audio Driver version 6.0.1.6730 med den sårbare unquoted service path frigives og distribueres til et stort antal Windows-pc'er via OEM-producenter.
01/07/2021
Proof-of-concept tilgængeligt
Sikkerhedsforskere publicerede tekniske analyser og proof-of-concept kode der demonstrerer, hvordan sårbarheden kan udnyttes til at opnå SYSTEM-rettigheder på berørte maskiner.
19/06/2026
Opdateret driver tilgængelig
Realtek og OEM-producenter stiller opdaterede driverversioner til rådighed, der retter den sårbare service path ved korrekt brug af anførselstegn i installationskonfigurationen.

Konkrete eksempler

Insider-trussel via almindelig brugerkonto

En medarbejder med en helt normal Windows-brugerkonto opdager, at Realtek-driverens servicesti ikke er sat i anførselstegn. Medarbejderen placerer et lille program med et bestemt navn i en mappe tidligere i stien. Næste gang computeren genstarter og tjenesten starter op, kører Windows utilsigtet medarbejderens program med fulde SYSTEM-rettigheder — og medarbejderen har nu komplet kontrol over maskinen og kan tilgå alle data og systemer.

Angriber med fodfæste via phishing

En angriber sender en phishing-mail til en medarbejder, der klikker på et link og uforvarende installerer et lille fjernadgangsprogram. Angriberen har nu adgang med medarbejderens rettigheder — men ønsker fuld systemkontrol. Ved at udnytte Realtek-driverens unquoted service path placerer angriberen en ondsindet fil og venter på at tjenesten genstarter. Herefter har angriberen ubegrænset adgang til hele systemet og kan sprede sig til resten af netværket.

Ransomware-angreb med eskalerede rettigheder

En ransomware-variant udnytter Realtek-sårbarhedens unquoted service path som et trin i et større angreb. Malwaren starter med begrænsede brugerrettigheder, men bruger fejlen til at eskalere til SYSTEM-niveau. Derfra kan den kryptere alle filer på computeren — inklusive sikkerhedskopier og delte netværksdrev — og deaktivere antivirussoftware, inden den kræver løsesum.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-428

Original NVD-beskrivelse (engelsk)

Realtek High Definition Audio Driver 6.0.1.6730 contains an unquoted service path vulnerability that allows local attackers to escalate privileges by placing a malicious executable in the service path. Attackers can insert an executable file in the unquoted path and restart the service to execute code with LocalSystem privileges.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.8
Visning
Hurtige fakta
CVE-ID
CVE-2016-20085
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 14 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.