CVE-2026-45487
Alvorlig

CVE-2026-45487: Kritisk Windows-sårbarhed giver admin-adgang

Sikkerhedsfejl i Windows lader en angriber med begrænset adgang overtage fuld kontrol over din computer.

CVSS Score
7.8
Offentliggjort
09/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 7 dage

Hvad er det?

CVE-2026-45487 er en sårbarhed i Microsofts Program Compatibility Assistant Service — en baggrundstjeneste i Windows, der hjælper ældre programmer med at køre korrekt. Fejlen skyldes et såkaldt TOCTOU-problem (Time-of-Check Time-of-Use), som opstår, når Windows tjekker én ting og derefter handler på en anden. I det korte øjeblik imellem kan en angriber snige sig ind og bytte data om, så systemet udfører noget andet end beregnet. Resultatet er, at en bruger med begrænset adgang kan løfte sine egne rettigheder til fuldt administratorniveau — uden at nogen godkender det.

Hvem rammer det?

Sårbarheden rammer alle virksomheder og privatpersoner, der bruger:

  • Windows 10 (version 21H2 og 22H2)
  • Windows 11 (version 23H2, 24H2, 25H2 og 26H1)
  • Windows Server 2022 og Windows Server 2025

Har du medarbejdere, der logger ind på virksomhedens computere med en standard-brugerkonto — det vil sige ikke administratorrettigheder — er I i risikogruppen. Det gælder særligt virksomheder med delte computere, fjernadgang (fx hjemmekontor) eller ansatte med begrænset IT-adgang.

Hvad kan ske?

En angriber, der allerede har adgang til en brugerkonto på computeren — fx via phishing, et stjålet password eller en ondsindet kollega — kan udnytte denne fejl til at få fuld administratoradgang. Med den adgang kan angriberen:

  • Installere ransomware (løsesumsvirus) eller anden skadelig software
  • Slette eller kryptere virksomhedens filer
  • Oprette skjulte bagdøre til fremtidigt misbrug
  • Stjæle fortrolige data som kundeoplysninger, økonomidata eller adgangskoder
  • Deaktivere jeres antivirusprogrammer og sikkerhedslogning

Det kræver fysisk eller fjernadgang til en brugerkonto — angriberen kan altså ikke udnytte fejlen udefra uden at have fået fodfæste på en maskine først.

Hvor alvorligt er det?

Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) af det internationale CVSS-system. Karakteren afspejler, at angriberen opnår fuld kontrol over fortrolighed, integritet og tilgængelighed på det ramte system. Angrebet kræver kun en lav brugerprivilegering og ingen interaktion fra et offer — det gør det nemt at udnytte, når man først har fodfæste på maskinen. At angrebet sker lokalt (dvs. kræver adgang til systemet) trækker lidt ned i den samlede score, men konsekvenserne, hvis angrebet lykkes, er fuldt ud alvorlige.

Hvad gør jeg nu?

Du bør opdatere alle berørte Windows-systemer hurtigst muligt. Følg disse trin:

  1. Identificér berørte computere: Gennemgå hvilke Windows-versioner jeres computere kører. Er de ikke opdateret til de versionsnumre, der er nævnt under ‘Ramte produkter’, er de sårbare.
  2. Installér Windows-opdateringer: Gå til Indstillinger → Windows Update → Søg efter opdateringer på alle berørte maskiner. Opdateringen er tilgængelig som del af Microsofts patch-udgivelse.
  3. Prioritér servere: Windows Server 2022 og 2025 bør opdateres allerhøjest prioritet, da et kompromitteret servermiljø kan sprede sig til hele virksomheden.
  4. Gennemgå brugerrettigheder: Sørg for, at medarbejdere ikke kører med administratorrettigheder til daglig. Brug i stedet standardbrugerkonti — det begrænser skaden ved et eventuelt angreb.
  5. Aktiver automatiske opdateringer: Slå automatiske Windows-opdateringer til, så fremtidige sikkerhedsrettelser installeres uden forsinkelse.
  6. Overvåg usædvanlig aktivitet: Bed jeres IT-ansvarlige eller IT-leverandør om at tjekke logfiler for mistænkelig rettighedseskalering (uautoriseret adgang til administratorniveau).
Tidsfrist

Opdatér inden for 7 dage

Sådan ser Auroa det

Auroa anbefaler, at du behandler denne opdatering som kritisk og installerer den inden for den kommende uge. Selvom angrebet kræver, at en angriber allerede har adgang til en brugerkonto, er det præcis den type angreb, der bruges som næste trin efter et phishing-angreb eller et stjålet password. Kombineret med en god adgangskodestyring og princippet om mindst mulig adgang (brugere har kun de rettigheder, de har brug for) reducerer du risikoen markant. Kontakt os, hvis du er i tvivl om, hvordan du håndterer opdateringen på tværs af mange computere.

Tidslinje

09/06/2026
CVE offentliggjort af Microsoft
Microsoft offentliggjorde CVE-2026-45487 som del af den månedlige Patch Tuesday-udgivelse og udsendte samtidig en sikkerhedsopdatering til alle berørte Windows-versioner.
09/06/2026
Sikkerhedsopdatering tilgængelig
Patches til Windows 10, Windows 11 og Windows Server 2022/2025 blev gjort tilgængelige via Windows Update samme dag som offentliggørelsen.
10/06/2026
Proof-of-Concept tilgængeligt
Sikkerhedsforskere publicerede teknisk dokumentation og proof-of-concept kode, der demonstrerer, hvordan TOCTOU-fejlen kan udnyttes til rettighedseskalering. Dette øger risikoen for, at fejlen aktivt udnyttes.
12/06/2026
Øget angrebsaktivitet forventet
Baseret på historiske mønstre med lignende TOCTOU-sårbarheder i Windows begynder trusselsaktører typisk at inkorporere kendte exploits i angrebsværktøjer inden for 3-7 dage efter offentliggørelse. Opdatering anbefales akut.

Konkrete eksempler

Phishing som indgang — rettighedseskalering som næste trin

En medarbejder klikker på et ondsindet link i en phishing-mail og downloader et program, der giver angriberen adgang til medarbejderens brugerkonto. Kontoen er en standard-brugerkonto uden administratorrettigheder. Angriberen bruger derefter CVE-2026-45487 til automatisk at eskalere sine rettigheder til administrator — og kan nu installere ransomware, slette sikkerhedskopier og kryptere virksomhedens drev.

Misfornøjet medarbejder med begrænset adgang

En medarbejder, der er opsagt, har stadig adgang til sin normale brugerkonto i opsigelsesperioden. Medarbejderen bruger CVE-2026-45487 til at skaffe sig administratoradgang på sin arbejdscomputer, opretter en skjult administratorkonto til fremtidig adgang og eksporterer fortrolige kundedata, inden IT-afdelingen når at spærre adgangen.

Kompromitteret leverandørlogin bruges til intern eskalering

En ekstern IT-leverandør har fjernadgang til virksomhedens systemer via en brugerkonto med begrænset adgang. Leverandørens login bliver stjålet af en angriber via et separat angreb. Angriberen logger ind med leverandørens begrænsede konto og udnytter CVE-2026-45487 til at opnå fuld administratoradgang på virksomhedens server — uden at virksomheden opdager det med det samme.

Ofte stillede spørgsmål

Ramte produkter

Microsoft — Windows 10 21h2

< 10.0.19044.7417

Microsoft — Windows 10 22h2

< 10.0.19045.7417

Microsoft — Windows 11 23h2

< 10.0.22631.7219

Microsoft — Windows 11 24h2

< 10.0.26100.8655

Microsoft — Windows 11 25h2

< 10.0.26200.8655

Microsoft — Windows 11 26h1

< 10.0.28000.2269

Microsoft — Windows Server 2022

< 10.0.20348.5256

Microsoft — Windows Server 2025

< 10.0.26100.32995

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-367

Original NVD-beskrivelse (engelsk)

Time-of-check time-of-use (TOCTOU) race condition in Program Compatibility Assistant Service allows an authorized attacker to elevate privileges locally.

Referencer & kilder

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-45487
Offentliggjort
09/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.