CVE-2022-50971
Alvorlig

CVE-2022-50971: Malwarebytes 4.5 sårbarhed forklaret

Fejl i Malwarebytes 4.5 lader en lokal angriber overtage hele systemet via en unoteret servicesti.

CVSS Score
7.8
Offentliggjort
19/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér snarest muligt

Hvad er det?

CVE-2022-50971 er en sårbarhed i sikkerhedsprogrammet Malwarebytes 4.5. Fejlen ligger i den måde, Windows-tjenesten MBAMService er registreret på: stien til programfilen er ikke sat i anførselstegn (såkaldt ‘unquoted service path’). Det betyder, at Windows kan blive narret til at køre et andet program i stedet for det rigtige, når tjenesten starter op. En angriber, der allerede har begrænset adgang til computeren, kan udnytte dette til at placere en ondsindet fil på en bestemt placering og få den udført med fulde systemrettigheder (LocalSystem) — altså de højeste rettigheder, Windows overhovedet giver.

Hvem rammer det?

Sårbarheden rammer virksomheder og privatpersoner, der har Malwarebytes 4.5 installeret på Windows-computere. Den kræver, at angriberen allerede har adgang til computeren med en almindelig brugerkonto — for eksempel en medarbejder med ondsindede hensigter, en ekstern angriber der allerede har fået fodfæste via phishing eller en anden sårbarhed, eller malware der allerede kører på maskinen. SMV’er der bruger Malwarebytes som primært antivirusprogram er særligt relevante.

Hvad kan ske?

Hvis en angriber udnytter fejlen, kan vedkommende:

  • Eskalere sine rettigheder til det højeste niveau på systemet (LocalSystem)
  • Installere yderligere skadelig software uden begrænsninger
  • Slette, ændre eller stjæle alle filer på computeren
  • Deaktivere antivirusprogrammet eller andre sikkerhedsforanstaltninger
  • Sprede sig til andre systemer på virksomhedens netværk

Konsekvensen kan i værste fald være et fuldt kompromitteret system, datatyveri eller ransomware-angreb.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 7.8 (Alvorlig). Angrebet kræver lokal adgang og en lavprivilegeret konto — det sænker risikoen lidt sammenlignet med angreb udefra. Til gengæld er kompleksiteten lav, og ingen brugerinteraktion er nødvendig, når angriberen først er inde. Fortrolighed, integritet og tilgængelighed er alle fuldt påvirket, hvilket betyder total kontrol over det ramte system. Det er særligt bekymrende, fordi det rammer selve sikkerhedssoftwaren — den ting der skulle beskytte dig.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed:

  1. Tjek din version: Åbn Malwarebytes og find versionsnummeret under ‘Indstillinger’ → ‘Om’. Er du på version 4.5, er du potentielt sårbar.
  2. Opdatér Malwarebytes: Hent og installér den seneste version fra malwarebytes.com. Opdateringen bør løse den fejlbehæftede servicekonfiguration.
  3. Begræns lokale brugerrettigheder: Sørg for, at medarbejdere ikke har administratorrettigheder på deres computere som standard — det reducerer skadevirkningerne markant.
  4. Gennemgå adgangsstyring: Overvej hvem der har fysisk eller fjernadgang til jeres maskiner, og om det er nødvendigt.
  5. Hold øje med usædvanlig aktivitet: Hvis du mistænker, at sårbarheden allerede er udnyttet, kontakt en IT-sikkerhedsekspert til en gennemgang.
Tidsfrist

Opdatér snarest muligt

Sådan ser Auroa det

Opdatér Malwarebytes til den nyeste version hurtigst muligt — det er den vigtigste handling du kan tage lige nu. Kombinér det med at gennemgå, om dine medarbejdere har unødvendigt høje rettigheder på deres computere. En grundregel i cybersikkerhed er, at brugere kun skal have de rettigheder de har brug for — det begrænser skaden, selv hvis en angriber kommer ind. Kontakt os, hvis du er usikker på om din virksomhed er berørt.

Tidslinje

19/06/2026
CVE offentliggjort i NVD
National Vulnerability Database (NVD) offentliggør CVE-2022-50971 med en CVSS-score på 7.8 (Alvorlig). Sårbarheden i Malwarebytes 4.5 beskrives officielt.
19/06/2026
Proof-of-concept tilgængeligt
Teknisk dokumentation og proof-of-concept (PoC) kode for udnyttelse af den unoterede servicesti er tilgængelig, hvilket sænker tærsklen for angreb betydeligt.
19/06/2026
Opdatering anbefales straks
Brugere af Malwarebytes 4.5 opfordres til at opdatere til den nyeste version for at lukke sårbarheden og forhindre potentiel udnyttelse.

Konkrete eksempler

Ondsindet medarbejder eskalerer rettigheder

En medarbejder med en standard Windows-brugerkonto ønsker at få administratoradgang. Vedkommende ved, at Malwarebytes 4.5 er installeret med en unoteret servicesti. Medarbejderen placerer et ondsindet program med et strategisk valgt filnavn i en overordnet mappe i stien. Næste gang computeren genstartes, kører Windows utilsigtet det ondsindede program med LocalSystem-rettigheder, og medarbejderen har nu fuld kontrol over maskinen.

Angriber med fodfæste via phishing

En ekstern angriber narrer en medarbejder til at klikke på et phishing-link, der installerer en bagdør med begrænsede brugerrettigheder. Angriberen opdager, at Malwarebytes 4.5 er installeret og udnytter den unoterede servicesti til at placere en fil, der giver fuld systemadgang ved næste serviceopstart. Derfra kan angriberen deaktivere sikkerhedsprogrammer, stjæle data og sprede sig til virksomhedens øvrige systemer.

Ransomware-angreb med eskalerede rettigheder

Malware, der er sluppet igennem den indledende sikkerhedsscanning, kører med begrænsede rettigheder på en computer. Malwaren udnytter CVE-2022-50971 til at eskalere til LocalSystem og deaktiverer herefter Malwarebytes og andre sikkerhedsværktøjer. Med fuld adgang krypterer ransomwaren alle filer på computeren og tilgængelige netværksdrev og kræver løsesum — en situation der kunne have været afværget med en simpel softwareopdatering.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-428

Original NVD-beskrivelse (engelsk)

Malwarebytes 4.5 contains an unquoted service path vulnerability in the MBAMService executable that allows local attackers to escalate privileges by injecting malicious code into the system root path. Attackers can place executable files in unquoted path directories that execute with LocalSystem privileges during service startup or system reboot.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.8
Visning
Hurtige fakta
CVE-ID
CVE-2022-50971
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér snarest muligt

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.