CVE-2020-37251
Alvorlig

CVE-2020-37251: RealTimes Desktop Service sårbarhed

RealTimes Desktop Service 18.1.4 har en fejl, der lader lokale angribere overtage hele computeren med systemrettigheder.

CVSS Score
7.8
Offentliggjort
19/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Handl inden for 7 dage

Hvad er det?

RealTimes Desktop Service version 18.1.4 indeholder en sårbarhed kaldet ‘unquoted service path’ (uciteret servicesti). Det betyder, at programmet rpdsvc.exe refererer til sin egen placering på computeren uden anførselstegn. Windows leder så efter programfiler i forkerte mapper undervejs — og en angriber kan udnytte dette ved at placere et ondsindet program i en af disse mapper. Næste gang tjenesten startes eller computeren genstartes, kører Windows det ondsindede program i stedet — med fuld systemadgang.

Hvem rammer det?

Sårbarheden rammer virksomheder og brugere, der har RealTimes Desktop Service version 18.1.4 installeret på Windows-computere. Fordi angrebet kræver lokal adgang, er det særligt relevant i miljøer, hvor flere brugere deler computere, eller hvor medarbejdere kan installere programmer — fx kontormiljøer, skolecomputere eller computere tilgængelige via fjernadgang (fx Remote Desktop).

Hvad kan ske?

En angriber med en almindelig brugerkonto på den berørte computer kan eskalere sine rettigheder til det højeste niveau i Windows: LocalSystem. Med disse rettigheder kan angriberen:

  • Installere skadelig software (fx ransomware eller spyware) uden begrænsninger
  • Slette eller ændre vigtige systemfiler og data
  • Oprette skjulte bagdøre til fremtidig adgang
  • Deaktivere antivirusprogrammer og sikkerhedsløsninger
  • Kopiere følsomme oplysninger fra computeren

Hvor alvorligt er det?

Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) af det internationale klassificeringssystem CVSS. Angrebet er teknisk set enkelt at udføre, kræver ingen særlige rettigheder og behøver ingen handling fra andre brugere. Den eneste begrænsning er, at angriberen allerede skal have en brugerkonto på computeren — men det er ikke en høj barriere i mange virksomhedsnetværk. Konsekvenserne for fortrolighed, dataintegritet og systemtilgængelighed er alle vurderet som maksimale.

Hvad gør jeg nu?

Du bør handle hurtigt for at beskytte de computere i din virksomhed, der kører RealTimes Desktop Service 18.1.4. Følg disse trin:

  1. Kortlæg eksponering: Undersøg hvilke computere i din virksomhed der har RealTimes Desktop Service installeret. Spørg din IT-ansvarlige eller søg i jeres systemoversigt.
  2. Opdater eller afinstaller: Tjek om der findes en nyere version af RealTimes Desktop Service uden denne fejl. Opdater i så fald til den nyeste version. Bruges programmet ikke aktivt, bør det afinstalleres.
  3. Begræns lokal adgang: Sørg for, at medarbejdere kun har de brugerrettigheder de har brug for — undgå lokale administratorkonti til daglig brug.
  4. Begræns fjernadgang: Hvis computerne er tilgængelige via Remote Desktop eller lignende, bør du sikre, at kun autoriserede brugere har adgang, og at der bruges stærk godkendelse (fx to-faktor-login).
  5. Overvåg for unormale hændelser: Bed din IT-support om at holde øje med usædvanlig aktivitet på berørte computere, særligt nye eller ukendte processer der kører med systemrettigheder.
Tidsfrist

Handl inden for 7 dage

Sådan ser Auroa det

Vi anbefaler, at du straks identificerer alle computere i din virksomhed med RealTimes Desktop Service 18.1.4 installeret. Kontakt leverandøren af softwaren for at afklare, om der er en opdateret version uden sårbarheden. Indtil en opdatering foreligger, bør du minimere risikoen ved at sikre, at kun nødvendige brugere har lokal adgang til de berørte computere og ved at overvåge for unormal aktivitet. Har du brug for hjælp til vurderingen, er du velkommen til at kontakte os.

Tidslinje

19/06/2026
CVE offentliggjort
CVE-2020-37251 blev officielt registreret og offentliggjort i National Vulnerability Database (NVD) med en alvorlighedsscore på 7.8.
19/06/2026
Sårbarhedsdetaljer frigivet
Den tekniske beskrivelse af den uciterede servicesti i rpdsvc.exe blev offentlig tilgængelig, hvilket øger risikoen for, at angribere forsøger at udnytte fejlen.
19/06/2026
Ingen officiel patch tilgængelig
På tidspunktet for offentliggørelsen er der ikke bekræftet en officiel rettelse fra leverandøren. Berørte virksomheder bør følge med i opdateringer fra RealTimes.

Konkrete eksempler

Ondsindet program i delt mappe

En medarbejder med en standard brugerkonto opdager, at RealTimes Desktop Service er installeret, og at dens programsti indeholder et mellemrum uden anførselstegn. Medarbejderen placerer et ondsindet program med et strategisk valgt filnavn i en mappe, som Windows prøver før den rigtige. Næste gang computeren genstartes, kører Windows det ondsindede program med fuld systemadgang — uden at nogen opdager det.

Angriber via kompromitteret brugerkonto

En ekstern angriber har via phishing fået adgang til en medarbejders brugernavn og kodeord og logger på virksomhedens fjernskrivebord (Remote Desktop). Med den almindelige brugerkonto udnytter angriberen sårbarheden i RealTimes til at opnå systemrettigheder, installerer herefter ransomware og krypterer virksomhedens filer, inden alarmen går.

Vedvarende bagdør efter kompromittering

En angriber, der allerede har fået kortvarig adgang til en computer, bruger sårbarheden til at installere en skjult bagdør med systemrettigheder. Selvom den oprindelige adgang lukkes, kan angriberen vende tilbage når som helst via bagdøren — uden at blive opdaget af standard sikkerhedsværktøjer.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-428

Original NVD-beskrivelse (engelsk)

RealTimes Desktop Service 18.1.4 contains an unquoted service path vulnerability in the rpdsvc.exe binary that allows local attackers to escalate privileges. Attackers can place malicious executables in unquoted path directories to execute arbitrary code with LocalSystem privileges during service startup or system reboot.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.8
Visning
Hurtige fakta
CVE-ID
CVE-2020-37251
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Handl inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.