CVE-2016-20089: Iperius Remote 1.7.0 sårbarhed
Fejl i Iperius Remote 1.7.0 giver lokale brugere mulighed for at køre skadelig kode med fulde systemrettigheder.
Hvad er det?
Iperius Remote er et program til fjernadgang, som bruges til at styre computere på afstand. Version 1.7.0 indeholder en fejl kaldet en unquoted service path-sårbarhed. Det betyder, at programmet er installeret i en mappe med mellemrum i stinavnet, og Windows ved ikke præcist, hvor det skal finde programfilen, når det starter. En angriber kan udnytte dette ved at placere en skadelig fil et bestemt sted på computeren, så Windows ved en fejl kører den skadelige fil i stedet for den rigtige — og det sker med de højeste systemrettigheder (SYSTEM-niveau).
Hvem rammer det?
Sårbarheden rammer virksomheder og brugere, der har Iperius Remote version 1.7.0 installeret på Windows-computere — særligt hvis programmet er installeret i en mappe, hvis sti indeholder mellemrum (f.eks. C:Program FilesIperius Remote). For at udnytte fejlen skal en angriber allerede have begrænset adgang til den pågældende computer — enten som lokal bruger eller via et andet angreb, der er gået forud.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan vedkommende køre vilkårlig kode med de højeste rettigheder på systemet (SYSTEM-niveau). Det betyder i praksis, at angriberen kan:
- Overtage fuld kontrol over computeren
- Installere bagdøre eller ransomware (afpresningssoftware)
- Stjæle følsomme data og adgangskoder
- Slette eller ændre filer og systemindstillinger
- Sprede sig videre til andre systemer på virksomhedens netværk
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 7.8 ud af 10, hvilket placerer den i kategorien Alvorlig. Angrebet kræver fysisk eller logisk lokal adgang til computeren samt en brugerkonto med begrænsede rettigheder — men ingen særlig teknisk viden eller avancerede værktøjer. Selve udnyttelsen er ligetil, og konsekvenserne er fuldt systemkompromittering. Virksomheder, der bruger Iperius Remote til fjernstøtte eller -administration, bør tage dette alvorligt.
Hvad gør jeg nu?
Du bør handle hurtigt for at beskytte dine systemer. Gør følgende:
- Find ud af, om du bruger Iperius Remote: Søg i din softwareliste (Kontrolpanel → Programmer og funktioner på Windows) efter Iperius Remote.
- Tjek versionen: Er det version 1.7.0, er du berørt. Tjek om der er en nyere version tilgængelig på leverandørens hjemmeside.
- Opdater eller afinstaller: Opdater til en nyere, sikker version af Iperius Remote, hvis en sådan findes. Har du ikke brug for programmet, afinstallér det straks.
- Begræns lokale brugerrettigheder: Sørg for, at medarbejdere kun har de rettigheder, de har brug for — ikke lokale administratorrettigheder.
- Overvåg systemet: Hold øje med mistænkelig aktivitet på de berørte computere, f.eks. ukendte processer eller ændringer i systemfiler.
- Kontakt IT-support: Er du i tvivl, så kontakt din IT-leverandør eller Auroa for hjælp.
Handl inden for 7 dage
Vi anbefaler, at du straks undersøger, om Iperius Remote 1.7.0 er installeret på nogen af virksomhedens computere. Opdatér programmet til en sikker version hurtigst muligt, og sørg for, at medarbejdere ikke har unødvendige lokale rettigheder. Kontakt os, hvis du har brug for hjælp til at vurdere din eksponering eller gennemføre opdateringen sikkert.
Tidslinje
Konkrete eksempler
Skadelig fil i installationsmappen
En medarbejder med en standard brugerkonto på en Windows-pc opdager, at Iperius Remote er installeret i mappen C:Program FilesIperius Remote. Vedkommende — eller en angriber der har fået adgang til kontoen — placerer en skadelig fil kaldet Iperius.exe i C:Program-mappen. Når computeren genstarter og Windows-tjenesten for Iperius Remote starter, kører Windows ved en fejl den skadelige fil med fulde SYSTEM-rettigheder i stedet for det rigtige program.
Ransomware via eskalering af rettigheder
En angriber får adgang til en medarbejders computer via en phishing-mail og opnår dermed en brugerkonto med begrænsede rettigheder. Angriberen udnytter unquoted service path-fejlen i Iperius Remote til at køre ransomware med SYSTEM-rettigheder. Ransomwaren krypterer alle filer på computeren og spredder sig videre til delte netværksdrev, inden nogen opdager det.
Bagdør installeret via servicestart
En angriber, der har fået begrænset lokal adgang til en server, placerer et bagdørsprogram det rigtige sted i filstrukturen. Næste gang serveren genstarter — f.eks. efter en Windows-opdatering — starter tjenesten og kører bagdøren med SYSTEM-rettigheder. Angriberen har nu permanent og ubegrænset adgang til serveren uden at blive opdaget.
Ofte stillede spørgsmål
Hvad er en 'unquoted service path'-sårbarhed?
Det er en fejl, hvor en Windows-tjeneste (et program der kører i baggrunden) er registreret med en filsti, der indeholder mellemrum, men uden anførselstegn omkring stien. Det betyder, at Windows kan misfortolke stien og ved en fejl køre en fil fra et forkert sted — f.eks. en skadelig fil, som en angriber har lagt der på forhånd.
Skal angriberen have fysisk adgang til min computer?
Ikke nødvendigvis fysisk adgang, men angriberen skal have en brugerkonto på computeren med mindst begrænsede rettigheder. Det kan opnås via social engineering (manipulation), phishing eller ved at udnytte en anden sårbarhed. Er kontoen først etableret, er selve udnyttelsen af denne fejl ligetil.
Er alle versioner af Iperius Remote sårbare?
Ifølge de tilgængelige oplysninger gælder sårbarheden specifikt version 1.7.0 af Iperius Remote. Kontrollér altid leverandørens officielle hjemmeside for at se, om nyere versioner er udbedret, og opgrader i så fald straks.
Hvad sker der, hvis vi ikke gør noget?
Lader I sårbarheden stå åben, risikerer I, at en angriber med lokal adgang kan eskalere sine rettigheder til det højeste niveau på computeren. Det kan føre til datatyveri, installation af ransomware eller fuldstændig overtagelse af systemet — og potentielt spredning til resten af jeres netværk.
Bruger vi Iperius Remote — hvad gør vi konkret?
Tjek versionsnummeret i jeres softwareliste. Findes version 1.7.0, skal I opdatere til en nyere version eller afinstallere programmet, hvis I ikke har brug for det. Herefter bør I kontrollere, at ingen uautoriserede filer er placeret i programmets installationsmappe.
Kan vores antivirus opdage dette angreb?
Måske — men det er ikke sikkert. En angriber kan bruge legitime systemværktøjer eller forsøge at skjule den skadelige fil, så antivirusprogrammet ikke reagerer. Opdatering af softwaren er den mest pålidelige beskyttelse frem for at stole alene på antivirus.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Iperius Remote 1.7.0 contains an unquoted service path vulnerability that allows local users to execute arbitrary code with SYSTEM privileges by exploiting the service installation path. When installed from directories containing spaces, attackers can place malicious executables in the path to be executed with elevated privileges during service startup or system reboot.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
