CVE-2026-45487: Kritisk Windows-sårbarhed giver admin-adgang
Sikkerhedsfejl i Windows lader en angriber med begrænset adgang overtage fuld kontrol over din computer.
Hvad er det?
CVE-2026-45487 er en sårbarhed i Microsofts Program Compatibility Assistant Service — en baggrundstjeneste i Windows, der hjælper ældre programmer med at køre korrekt. Fejlen skyldes et såkaldt TOCTOU-problem (Time-of-Check Time-of-Use), som opstår, når Windows tjekker én ting og derefter handler på en anden. I det korte øjeblik imellem kan en angriber snige sig ind og bytte data om, så systemet udfører noget andet end beregnet. Resultatet er, at en bruger med begrænset adgang kan løfte sine egne rettigheder til fuldt administratorniveau — uden at nogen godkender det.
Hvem rammer det?
Sårbarheden rammer alle virksomheder og privatpersoner, der bruger:
- Windows 10 (version 21H2 og 22H2)
- Windows 11 (version 23H2, 24H2, 25H2 og 26H1)
- Windows Server 2022 og Windows Server 2025
Har du medarbejdere, der logger ind på virksomhedens computere med en standard-brugerkonto — det vil sige ikke administratorrettigheder — er I i risikogruppen. Det gælder særligt virksomheder med delte computere, fjernadgang (fx hjemmekontor) eller ansatte med begrænset IT-adgang.
Hvad kan ske?
En angriber, der allerede har adgang til en brugerkonto på computeren — fx via phishing, et stjålet password eller en ondsindet kollega — kan udnytte denne fejl til at få fuld administratoradgang. Med den adgang kan angriberen:
- Installere ransomware (løsesumsvirus) eller anden skadelig software
- Slette eller kryptere virksomhedens filer
- Oprette skjulte bagdøre til fremtidigt misbrug
- Stjæle fortrolige data som kundeoplysninger, økonomidata eller adgangskoder
- Deaktivere jeres antivirusprogrammer og sikkerhedslogning
Det kræver fysisk eller fjernadgang til en brugerkonto — angriberen kan altså ikke udnytte fejlen udefra uden at have fået fodfæste på en maskine først.
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) af det internationale CVSS-system. Karakteren afspejler, at angriberen opnår fuld kontrol over fortrolighed, integritet og tilgængelighed på det ramte system. Angrebet kræver kun en lav brugerprivilegering og ingen interaktion fra et offer — det gør det nemt at udnytte, når man først har fodfæste på maskinen. At angrebet sker lokalt (dvs. kræver adgang til systemet) trækker lidt ned i den samlede score, men konsekvenserne, hvis angrebet lykkes, er fuldt ud alvorlige.
Hvad gør jeg nu?
Du bør opdatere alle berørte Windows-systemer hurtigst muligt. Følg disse trin:
- Identificér berørte computere: Gennemgå hvilke Windows-versioner jeres computere kører. Er de ikke opdateret til de versionsnumre, der er nævnt under ‘Ramte produkter’, er de sårbare.
- Installér Windows-opdateringer: Gå til Indstillinger → Windows Update → Søg efter opdateringer på alle berørte maskiner. Opdateringen er tilgængelig som del af Microsofts patch-udgivelse.
- Prioritér servere: Windows Server 2022 og 2025 bør opdateres allerhøjest prioritet, da et kompromitteret servermiljø kan sprede sig til hele virksomheden.
- Gennemgå brugerrettigheder: Sørg for, at medarbejdere ikke kører med administratorrettigheder til daglig. Brug i stedet standardbrugerkonti — det begrænser skaden ved et eventuelt angreb.
- Aktiver automatiske opdateringer: Slå automatiske Windows-opdateringer til, så fremtidige sikkerhedsrettelser installeres uden forsinkelse.
- Overvåg usædvanlig aktivitet: Bed jeres IT-ansvarlige eller IT-leverandør om at tjekke logfiler for mistænkelig rettighedseskalering (uautoriseret adgang til administratorniveau).
Opdatér inden for 7 dage
Auroa anbefaler, at du behandler denne opdatering som kritisk og installerer den inden for den kommende uge. Selvom angrebet kræver, at en angriber allerede har adgang til en brugerkonto, er det præcis den type angreb, der bruges som næste trin efter et phishing-angreb eller et stjålet password. Kombineret med en god adgangskodestyring og princippet om mindst mulig adgang (brugere har kun de rettigheder, de har brug for) reducerer du risikoen markant. Kontakt os, hvis du er i tvivl om, hvordan du håndterer opdateringen på tværs af mange computere.
Tidslinje
Konkrete eksempler
Phishing som indgang — rettighedseskalering som næste trin
En medarbejder klikker på et ondsindet link i en phishing-mail og downloader et program, der giver angriberen adgang til medarbejderens brugerkonto. Kontoen er en standard-brugerkonto uden administratorrettigheder. Angriberen bruger derefter CVE-2026-45487 til automatisk at eskalere sine rettigheder til administrator — og kan nu installere ransomware, slette sikkerhedskopier og kryptere virksomhedens drev.
Misfornøjet medarbejder med begrænset adgang
En medarbejder, der er opsagt, har stadig adgang til sin normale brugerkonto i opsigelsesperioden. Medarbejderen bruger CVE-2026-45487 til at skaffe sig administratoradgang på sin arbejdscomputer, opretter en skjult administratorkonto til fremtidig adgang og eksporterer fortrolige kundedata, inden IT-afdelingen når at spærre adgangen.
Kompromitteret leverandørlogin bruges til intern eskalering
En ekstern IT-leverandør har fjernadgang til virksomhedens systemer via en brugerkonto med begrænset adgang. Leverandørens login bliver stjålet af en angriber via et separat angreb. Angriberen logger ind med leverandørens begrænsede konto og udnytter CVE-2026-45487 til at opnå fuld administratoradgang på virksomhedens server — uden at virksomheden opdager det med det samme.
Ofte stillede spørgsmål
Kan en hacker udnytte denne fejl udefra via internettet?
Nej, ikke direkte. Angriberen skal have adgang til en brugerkonto på den pågældende maskine for at udnytte fejlen. Men det er vigtigt at forstå, at hackere typisk skaffer sig den adgang via phishing-mails eller stjålne adgangskoder — og derefter bruger sårbarheder som denne til at eskalere deres rettigheder.
Hvad er en TOCTOU-fejl, og hvorfor er den farlig?
TOCTOU står for ‘Time-of-Check Time-of-Use’. Det betyder, at programmet tjekker, om noget er sikkert at gøre — og så, i det lille øjeblik inden det faktisk gør det, ændrer angriberen situationen. Det er lidt som at låse en dør, men i det splitsekund du vender dig om, bytter nogen låsen ud. Fejlen er svær at opdage og nem at udnytte, når den kendes.
Er min virksomhed i fare, hvis vi bruger Windows 11?
Ja, hvis jeres Windows 11-maskiner ikke er opdateret til de seneste versioner. Alle nuværende Windows 11-versioner (23H2, 24H2, 25H2 og 26H1) er sårbare, indtil opdateringen er installeret. Tjek versionsnummeret under Indstillinger → System → Om, og sammenlign med de versionsnumre, der er angivet i artiklen.
Hvad med Windows Server — er det mere kritisk end en almindelig pc?
Ja, typisk. En server håndterer ofte data og systemer for hele virksomheden. Hvis en angriber opnår administratoradgang på en server, kan konsekvenserne sprede sig til alle tilsluttede computere og brugere. Opdatering af servere bør derfor have højeste prioritet.
Hjælper det at have antivirussoftware installeret?
Antivirussoftware kan hjælpe med at opdage kendte angrebsværktøjer, men den beskytter ikke direkte mod selve sårbarheden. Den eneste effektive løsning er at installere den officielle sikkerhedsopdatering fra Microsoft. Antivirussoftware er et supplement — ikke en erstatning for opdateringer.
Hvad gør jeg, hvis jeg ikke kan opdatere med det samme?
Sørg for, at alle brugere kører med standardbrugerkonti og ikke administratorkonti til daglig. Det gør det sværere for en angriber at udnytte fejlen, da de stadig skal have en brugerkonto som udgangspunkt. Hold desuden øje med usædvanlig aktivitet og begræns fjernadgang til systemer, der ikke kan opdateres straks. Kontakt jeres IT-leverandør for en konkret plan.
Ramte produkter
Microsoft — Windows 10 21h2
< 10.0.19044.7417
Microsoft — Windows 10 22h2
< 10.0.19045.7417
Microsoft — Windows 11 23h2
< 10.0.22631.7219
Microsoft — Windows 11 24h2
< 10.0.26100.8655
Microsoft — Windows 11 25h2
< 10.0.26200.8655
Microsoft — Windows 11 26h1
< 10.0.28000.2269
Microsoft — Windows Server 2022
< 10.0.20348.5256
Microsoft — Windows Server 2025
< 10.0.26100.32995
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Time-of-check time-of-use (TOCTOU) race condition in Program Compatibility Assistant Service allows an authorized attacker to elevate privileges locally.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
