CVE-2026-45607: Kritisk Hyper-V fejl i Windows
Kritisk fejl i Windows Hyper-V giver angribere mulighed for at køre skadelig kode på din server eller PC uden særlige rettigheder.
Hvad er det?
CVE-2026-45607 er en sikkerhedsfejl i Windows Hyper-V – Microsofts indbyggede virtualiseringsteknologi (et program der lader én computer køre flere virtuelle maskiner samtidig). Fejlen skyldes en såkaldt out-of-bounds read (læsning uden for det tilladte hukommelsesområde), som klassificeres som CWE-125. Det betyder, at programmet læser data fra et sted i computerens hukommelse, det ikke har tilladelse til. En angriber kan udnytte dette til at få computeren til at udføre vilkårlig kode – altså programmer valgt af angriberen. Fejlen kræver hverken særlige rettigheder eller brugerinteraktion for at udnyttes, hvilket gør den særligt farlig.
Hvem rammer det?
Sårbarheden rammer alle virksomheder og organisationer, der kører en eller flere af følgende Windows-versioner uden de nyeste opdateringer:
- Windows 10 (version 1607, 1809, 21H2 og 22H2)
- Windows 11 (version 23H2, 24H2, 25H2 og 26H1)
- Windows Server 2016, 2019, 2022 og 2025
Særligt udsatte er virksomheder, der bruger Hyper-V til at køre virtuelle servere eller arbejdsstationer – fx til at dele én fysisk server op i flere miljøer. Det er meget udbredt i SMV’er med en intern server eller et hostingmiljø.
Hvad kan ske?
En angriber, der allerede har lokal adgang til en berørt maskine (fx via en kompromitteret medarbejderkonto eller et andet angreb), kan udnytte fejlen til at:
- Overtage systemet fuldstændigt – køre egne programmer med høje rettigheder
- Bryde ud af den virtuelle maskine – og potentielt angribe andre virtuelle maskiner på samme fysiske server
- Stjæle fortrolige data – adgangskoder, kundedata, forretningshemmeligheder
- Installere ransomware eller bagdøre – til fremtidigt misbrug
- Lamme hele servermiljøet – ved at slette eller kryptere kritiske filer
Angrebets fulde omfang rammer fortrolighed, integritet og tilgængelighed – alle tre centrale sikkerhedsprincipper.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 8.4 (Alvorlig/High) på en skala fra 0 til 10. Det afspejler, at:
- Angrebet kan udføres lokalt uden særlige rettigheder og uden at narre en bruger til at klikke på noget
- Konsekvenserne for både fortrolighed, integritet og tilgængelighed er høje
- Angrebskompleksiteten er lav – det kræver ikke avanceret viden at udnytte fejlen
Scoren er ikke 10/10, fordi angriberen skal have lokal adgang til maskinen først – men i et virksomhedsmiljø med delte servere eller fjernskrivebordsadgang (RDP) er det langt fra umuligt.
Hvad gør jeg nu?
Microsoft har udgivet sikkerhedsopdateringer, der lukker hullet. Du bør handle hurtigt – særligt hvis din virksomhed bruger virtuelle servere eller Windows Server:
- Identificér dine systemer: Tjek hvilke Windows-versioner og servere din virksomhed kører. Brug evt. din IT-leverandør til at lave en hurtig gennemgang.
- Installér Windows Update straks: Gå til Indstillinger → Windows Update og installér alle afventende opdateringer. På servere gøres det via Server Manager eller WSUS.
- Verificér versionsnumre: Se listen over berørte versioner og bekræft, at dine systemer er opdateret til eller over de angivne build-numre (fx Windows 10 22H2 skal være mindst 10.0.19045.7417).
- Prioritér servere med Hyper-V: Systemer der aktivt bruger Hyper-V til virtualisering er højest prioritet og bør opdateres inden for 24-48 timer.
- Begræns lokal adgang: Som midlertidig foranstaltning – gennemgå hvem der har lokal eller RDP-adgang til jeres servere og fjern unødvendige adgange.
- Kontakt din IT-leverandør: Har du ikke selv ressourcer til at håndtere dette, kontakt din IT-leverandør med det samme og bed dem prioritere patching.
Opdatér inden for 48 timer
Auroa anbefaler, at du behandler denne sårbarhed som høj prioritet og sørger for at opdatere alle berørte Windows-systemer inden for de næste 48 timer. Særligt Windows Server-miljøer med Hyper-V skal håndteres straks. Har din virksomhed ikke en fast IT-partner, der holder styr på opdateringer automatisk, er dette et godt tidspunkt at overveje en managed service-aftale – så denne type situationer håndteres proaktivt fremover.
Tidslinje
Konkrete eksempler
Angriber bryder ud af virtuel maskine
En angriber kompromitterer én virtuel maskine hos en virksomhed – fx via en phishing-mail der giver adgang til en medarbejders konto. Via CVE-2026-45607 udnytter angriberen Hyper-V-fejlen til at ‘bryde ud’ af den virtuelle maskine og få adgang til den underliggende fysiske server. Herfra kan angriberen se og tilgå alle andre virtuelle maskiner på samme server – herunder økonomi-, kunde- og backupsystemer.
Ransomware via kompromitteret RDP-adgang
En medarbejders RDP-loginoplysninger (fjernskrivebord) er lækket via et datalæk på nettet. Angriberen logger ind på virksomhedens Windows Server 2022 og udnytter CVE-2026-45607 til at eskalere rettigheder og tage kontrol over hele servermiljøet. Derefter krypteres alle filer med ransomware, og virksomheden præsenteres for et løsesumskrav.
Insider-trussel fra utilfreds medarbejder
En medarbejder med normal brugerkonto og fysisk adgang til en arbejdsstation udnytter CVE-2026-45607 til at køre skadelig kode med systemrettigheder – uden at have administratoradgang. Medarbejderen kan herefter tilgå fortrolige filer, installere spyware eller sabotere systemer på en måde, der er svær at spore tilbage til vedkommende.
Ofte stillede spørgsmål
Bruger vi Hyper-V – og ved vi det?
Hyper-V er Microsofts indbyggede virtualiseringsteknologi og er tilgængeligt på alle Windows 10/11 Pro- og Enterprise-udgaver samt alle Windows Server-versioner. Mange virksomheder bruger det uden at være klar over det – fx hvis jeres server er opdelt i flere virtuelle maskiner. Din IT-leverandør kan hurtigt fortælle dig, om det er aktiveret på jeres systemer.
Er vi i fare, selvom vi ikke selv har aktiveret Hyper-V?
Sårbarheden ligger i Hyper-V-komponenten, som er en del af Windows. Selv hvis du ikke aktivt bruger Hyper-V, kan komponenten være installeret og dermed sårbar. Det sikreste er at installere opdateringerne uanset hvad – og eventuelt deaktivere Hyper-V hvis I ikke bruger det.
Kan en angriber udnytte fejlen udefra via internettet?
Nej – angrebet kræver lokal adgang til den berørte maskine (angriberens computer skal ‘være på’ systemet, fx via en kompromitteret brugerkonto, RDP-adgang eller fysisk tilstedeværelse). Det reducerer risikoen en smule, men i virksomhedsmiljøer med delte servere og fjernarbejde er lokal adgang ikke svær at opnå for en målrettet angriber.
Hvad hvis vi ikke kan opdatere med det samme på grund af forretningskritiske systemer?
Hvis en øjeblikkelig opdatering ikke er mulig, bør du som minimum begrænse hvem der har lokal og fjern (RDP) adgang til de berørte servere. Overvej at isolere de mest kritiske systemer fra resten af netværket midlertidigt. Planlæg opdateringen til tidligst mulige vedligeholdelsesvindue – helst inden for ugen.
Gælder det alle versioner af Windows 10 og 11?
Ikke alle versioner er listet som berørte – men de fleste almindeligt brugte udgaver er det, herunder Windows 10 22H2 og Windows 11 23H2 og 24H2. Tjek din præcise Windows-version under Indstillinger → System → Om, og sammenlign med listen over berørte versioner og de krævede minimumsbuildnumre.
Hvornår udsendte Microsoft opdateringen?
CVE’en blev offentliggjort den 9. juni 2026, hvilket sandsynligvis er en del af Microsofts månedlige ‘Patch Tuesday’-opdatering (normalt den anden tirsdag i måneden). Opdateringen er tilgængelig via Windows Update og bør allerede stå klar til installation på dit system.
Ramte produkter
Microsoft — Windows 10 1607
< 10.0.14393.9234
Microsoft — Windows 10 1809
< 10.0.17763.8880
Microsoft — Windows 10 21h2
< 10.0.19044.7417
Microsoft — Windows 10 22h2
< 10.0.19045.7417
Microsoft — Windows 11 23h2
< 10.0.22631.7219
Microsoft — Windows 11 24h2
< 10.0.26100.8655
Microsoft — Windows 11 25h2
< 10.0.26200.8655
Microsoft — Windows 11 26h1
< 10.0.28000.2269
Microsoft — Windows Server 2016
< 10.0.14393.9234
Microsoft — Windows Server 2019
< 10.0.17763.8880
Microsoft — Windows Server 2022
< 10.0.20348.5256
Microsoft — Windows Server 2025
< 10.0.26100.32995
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Out-of-bounds read in Windows Hyper-V allows an unauthorized attacker to execute code locally.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
