CVE-2016-20091
Alvorlig

CVE-2016-20091: Sårbarhed i Windows Firewall Control

Sårbarhed i Windows Firewall Control 4.8.6.0 lader lokale angribere overtage fuld systemkontrol ved at placere en skjult ondsindet fil.

CVSS Score
7.8
Offentliggjort
19/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 14 dage

Hvad er det?

Windows Firewall Control er et populært tredjepartsprogram til styring af Windows’ indbyggede firewall. Programmet installerer en baggrundsservice (wfcs.exe), der kører med de højest mulige systemrettigheder.

Sårbarheden skyldes en klassisk fejl kaldet unquoted service path (en uanført servicesti). Når Windows skal starte servicen, leder den efter programfilen langs en sti uden anførselstegn. Det betyder, at Windows kan snuble over og køre en ondsindet fil, som en angriber har placeret et andet sted i stien — og det sker med fuld systemadgang.

Hvem rammer det?

Alle virksomheder og brugere, der har installeret Windows Firewall Control version 4.8.6.0 på deres Windows-computere. Angriberen skal allerede have adgang til maskinen som en almindelig bruger — det kan f.eks. være en misfornøjet medarbejder, en praktikant eller en hacker, der allerede har kompromitteret én konto på systemet.

Hvad kan ske?

En angriber med almindelige brugerrettigheder kan eskalere sine rettigheder til det højeste niveau på maskinen — kaldet LocalSystem (fuld administratoradgang). Det betyder, at angriberen kan:

  • Installere malware eller ransomware uden begrænsninger
  • Stjæle alle filer og adgangskoder på computeren
  • Slå sikkerhedsprogrammer fra, herunder selve firewallen
  • Sprede sig videre til andre systemer på virksomhedens netværk

Hvor alvorligt er det?

Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) efter den internationale CVSS-skala. Angrebet kræver, at angriberen allerede er logget ind på maskinen som en almindelig bruger — men derfra er fremgangsmåden enkel og kræver ikke avanceret teknisk viden. Konsekvenserne er alvorlige: fuld kontrol over den ramte computer.

Hvad gør jeg nu?

Gør følgende så hurtigt som muligt, hvis du bruger Windows Firewall Control:

  1. Find ud af, om I bruger programmet. Bed din IT-ansvarlige eller -leverandør om at søge efter ‘Windows Firewall Control’ eller ‘wfcs.exe’ på virksomhedens computere.
  2. Opdater eller afinstaller programmet. Tjek om der findes en nyere version end 4.8.6.0 hos udvikleren (BiniSoft/Malwarebytes). Opdater til seneste version, eller afinstaller programmet midlertidigt hvis ingen opdatering er tilgængelig.
  3. Begræns lokal adgang. Sørg for at medarbejdere kun har de rettigheder, de har brug for — ikke lokale administratorrettigheder — så en eventuel angriber har sværere ved at gennemføre angrebet.
  4. Overvåg systemer. Bed din IT-leverandør om at tjekke, om der er tegn på uautoriserede programmer i systemstierne på berørte maskiner.
Tidsfrist

Opdater inden for 14 dage

Sådan ser Auroa det

Vi anbefaler, at du hurtigst muligt får kortlagt, om programmet Windows Firewall Control version 4.8.6.0 er installeret på virksomhedens maskiner. Opdater til seneste version med det samme. Denne type sårbarhed er velkendt og relativt nem at udnytte for en angriber med selv begrænset adgang til en maskine — ventetid øger risikoen unødigt.

Tidslinje

19/06/2026
CVE offentliggjort i NVD
Sårbarheden CVE-2016-20091 blev officielt registreret og offentliggjort i National Vulnerability Database med en CVSS-score på 7.8 (Alvorlig).
19/06/2026
Teknisk detalje tilgængelig
Beskrivelsen af den præcise angrebsmetode (unquoted service path i wfcs.exe) er nu offentligt tilgængelig, hvilket øger risikoen for udnyttelse markant.
19/06/2026
Afhjælpning anbefalet
Brugere og virksomheder opfordres til straks at opdatere Windows Firewall Control til en nyere version end 4.8.6.0 eller afinstallere programmet indtil en patch foreligger.

Konkrete eksempler

Misfornøjet medarbejder eskalerer rettigheder

En medarbejder med en almindelig Windows-brugerkonto opdager, at virksomheden kører Windows Firewall Control 4.8.6.0. Medarbejderen placerer et ondsindet program i en mappe på servicestien og venter på, at computeren genstarter — f.eks. efter en Windows-opdatering. Når maskinen starter igen, kører det ondsindede program med fuld systemadgang, og medarbejderen har nu administratorkontrol over maskinen uden at nogen opdager det.

Angriber udnytter kompromitteret brugerkonto

En hacker har via et phishing-angreb fået fat i loginoplysningerne til en medarbejders konto. Hackeren logger ind via fjernadgang (f.eks. VPN eller Remote Desktop) og konstaterer, at Windows Firewall Control er installeret i den sårbare version. Hackeren placerer derefter ransomware i den eksponerede servicesti. Næste gang computeren genstarter, kører ransomwaren med LocalSystem-rettigheder og krypterer ikke blot den lokale maskine, men forsøger også at sprede sig til delte netværksdrev.

Automatiseret angreb via malware

En medarbejder downloader ubevidst et ondsindet program forklædt som et gratis værktøj. Det ondsindede program scanner automatisk maskinen for kendte sårbare services, finder wfcs.exe-stien og indsætter sig selv i den eksponerede sti. Ved næste systemgenstart overtager programmet fuld kontrol og begynder lydløst at sende virksomhedens data til en ekstern server.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-428

Original NVD-beskrivelse (engelsk)

Windows Firewall Control 4.8.6.0 contains an unquoted service path vulnerability that allows local attackers to escalate privileges by inserting malicious executables in the service path. Attackers can place executable files in unquoted path directories that the wfcs.exe service will execute with LocalSystem privileges upon service restart or system reboot.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.8
Visning
Hurtige fakta
CVE-ID
CVE-2016-20091
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 14 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.