CVE-2026-45641: Kritisk Windows Hyper-V sårbarhed
Kritisk fejl i Windows Hyper-V giver angribere mulighed for at overtage din server eller PC uden login.
Hvad er det?
CVE-2026-45641 er en alvorlig sikkerhedsfejl i Windows Hyper-V — det virtualiseringsprogram (software der lader én computer køre flere virtuelle maskiner) der er indbygget i Windows 10, Windows 11 og Windows Server.
Fejlen skyldes to tekniske problemer: et såkaldt out-of-bounds read (programmet læser data fra et hukommelsesområde det ikke må tilgå) og en type confusion-fejl (CWE-843, CWE-125). Tilsammen kan en angriber udnytte dem til at køre sin egen kode på maskinen — uden at have et brugernavn eller adgangskode.
Hvem rammer det?
Sårbarheden rammer alle virksomheder og organisationer der kører:
- Windows 10 (version 21H2 eller 22H2) der endnu ikke er opdateret
- Windows 11 (version 23H2, 24H2, 25H2 eller 26H1) der endnu ikke er opdateret
- Windows Server 2022 eller 2025 der endnu ikke er opdateret
Særligt udsatte er virksomheder der bruger Hyper-V til at køre virtuelle maskiner — fx til at adskille systemer eller afvikle test-miljøer. Men fejlen er til stede i Windows, selv hvis du ikke aktivt bruger Hyper-V.
Hvad kan ske?
En angriber der allerede har fysisk adgang til en maskine — eller adgang via et kompromitteret program på samme computer — kan udnytte fejlen til at:
- Overtage hele systemet med fuld kontrol (høj fortrolighed, integritet og tilgængelighed er alle i fare)
- Bryde ud af en virtuel maskine og få adgang til det underliggende host-system og dermed andre virtuelle maskiner
- Installere ransomware, bagdøre eller spionageværktøj uden at blive opdaget
- Slette eller kryptere data på serveren
Angriberen behøver hverken særlige rettigheder eller brugerinteraktion for at udnytte fejlen — hvilket gør den særligt farlig.
Hvor alvorligt er det?
Fejlen er vurderet til CVSS 8.4 (Alvorlig) ud af maksimalt 10. Det er højt, og her er grunden:
- Ingen login kræves: Angriberen behøver ikke et brugernavn eller en adgangskode
- Ingen brugerhandling kræves: Offeret behøver ikke klikke på noget eller åbne en fil
- Fuld systemkontrol: Alle tre sikkerhedsparametre (fortrolighed, integritet og tilgængelighed) er kompromitteret
- Lav angrebskompleksitet: Fejlen er ikke svær at udnytte, når først angriberen har adgang
Det eneste der begrænser vurderingen fra at være maksimal, er at angriberen skal have lokal adgang til maskinen — men det er ikke en høj barriere i mange virksomhedsmiljøer.
Hvad gør jeg nu?
Du bør handle hurtigt. Følg disse trin for at beskytte din virksomhed:
- Opdatér Windows nu: Installér de nyeste Windows-opdateringer via Indstillinger → Windows Update. Sørg for at alle berørte versioner opdateres til mindst de versionsnumre der er angivet af Microsoft.
- Prioritér servere: Windows Server 2022 og 2025 der kører Hyper-V bør patches allerførst — de er mest udsatte.
- Tjek alle arbejdsstationer: Sørg for at Windows 10 og Windows 11-maskiner i virksomheden også er opdaterede.
- Begræns lokal adgang: Sørg for at kun autoriserede medarbejdere har fysisk eller lokal adgang til servere og kritiske arbejdsstationer.
- Aktivér automatiske opdateringer: Slå automatiske opdateringer til på alle maskiner, så fremtidige patches installeres straks.
- Kontakt din IT-leverandør: Hvis du er usikker på om dine systemer er opdaterede, så ring til din IT-support i dag.
Opdatér inden for 72 timer
Auroa anbefaler at du behandler denne sårbarhed som højt prioriteret og installerer Microsofts sikkerhedsopdatering hurtigst muligt — helst inden for 72 timer. Fejlens kombination af fuld systemkontrol, ingen krav om login og lav angrebskompleksitet gør den attraktiv for angribere. Har du ikke et struktureret patch-program i din virksomhed, er dette et godt tidspunkt at etablere én — vi hjælper gerne.
Tidslinje
Konkrete eksempler
Ransomware via kompromitteret medarbejderkonto
En medarbejder klikker på et phishing-link og downloader et skadeligt program. Programmet kører lokalt på maskinen og udnytter CVE-2026-45641 til at eskalere sine rettigheder via Hyper-V-fejlen. Angriberen har nu fuld kontrol over serveren og installerer ransomware der krypterer alle virksomhedens filer — herunder dem på de virtuelle maskiner der kører på samme server.
VM-escape: Fra gæstemaskine til host
En virksomhed kører to virtuelle maskiner på én fysisk server via Hyper-V: én til bogføring og én til test. En angriber kompromitterer test-maskinen og udnytter CVE-2026-45641 til at ‘bryde ud’ af den virtuelle maskine og få adgang til host-systemet. Derfra kan angriberen tilgå bogførings-maskinen og stjæle følsomme regnskabsdata og kundeoplysninger.
Insider-trussel med begrænset adgang
En utilfreds medarbejder med begrænset IT-adgang sidder ved en arbejdsstation med Windows 11. Via et internt netværk og lokal adgang til maskinen udnytter medarbejderen fejlen i Hyper-V til at opnå administratorrettigheder uden at kende adminadgangskoden. Medarbejderen kan nu tilgå og kopiere fortrolige filer der normalt er beskyttede.
Ofte stillede spørgsmål
Bruger min virksomhed Hyper-V uden at vide det?
Ja, det er muligt. Hyper-V er en funktion der er indbygget i Windows og kan være slået til uden at du har bedt om det — fx hvis du bruger Docker, Windows Sandbox eller visse sikkerhedsfunktioner. Du kan tjekke det ved at søge efter ‘Slå Windows-funktioner til eller fra’ i Start-menuen og se om Hyper-V er markeret. Men vi anbefaler at opdatere uanset hvad, da fejlen er til stede i Windows-kernen.
Er vi sikre, hvis vi ikke bruger virtuelle maskiner?
Ikke nødvendigvis. Sårbarheden sidder i Windows-komponenten Hyper-V, som kan være aktiv selv uden at du kører virtuelle maskiner. Opdatering er den eneste sikre løsning uanset om I aktivt bruger virtualiseringsteknologi eller ej.
Kræver det at en hacker er fysisk til stede?
Angrebet kræver lokal adgang til maskinen, men det behøver ikke betyde fysisk tilstedeværelse. En angriber kan opnå lokal adgang via et andet stykke skadeligt software (malware) der allerede kører på maskinen, via fjernadgang (fx RDP eller VPN) eller via en kompromitteret brugerkonto. Lokal adgang er altså ikke en høj barriere.
Hvad sker der hvis vi venter med at opdatere?
Jo længere du venter, jo større er risikoen. Når en fejl som denne er offentliggjort, begynder angribere aktivt at lede efter sårbare systemer. Hvis en angriber udnytter fejlen, kan de overtage hele serveren, stjæle data eller installere ransomware. Konsekvenserne kan inkludere driftsstop, tab af følsomme data og bøder under GDPR.
Hvordan ved jeg om mine systemer er opdaterede?
Gå til Indstillinger → Windows Update på den pågældende maskine og tjek at alle tilgængelige opdateringer er installeret. Du kan også sammenligne dit buildnummer (findes under Indstillinger → System → Om) med de minimumsversionsnumre der er angivet af Microsoft for din Windows-version. Er du i tvivl, kontakt din IT-leverandør.
Er der en midlertidig løsning hvis vi ikke kan opdatere med det samme?
Microsoft har ikke offentliggjort en officiel workaround der fjerner risikoen. Den eneste sikre løsning er at installere sikkerhedsopdateringen. Hvis opdatering er umulig på kort sigt, bør du som minimum sikre at adgangen til de berørte maskiner er strengt begrænset til autoriserede brugere og at lokal adgang overvåges nøje.
Ramte produkter
Microsoft — Windows 10 21h2
< 10.0.19044.7417
Microsoft — Windows 10 22h2
< 10.0.19045.7417
Microsoft — Windows 11 23h2
< 10.0.22631.7219
Microsoft — Windows 11 24h2
< 10.0.26100.8655
Microsoft — Windows 11 25h2
< 10.0.26200.8655
Microsoft — Windows 11 26h1
< 10.0.28000.2269
Microsoft — Windows Server 2022
< 10.0.20348.5256
Microsoft — Windows Server 2025
< 10.0.26100.32995
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Out-of-bounds read in Windows Hyper-V allows an unauthorized attacker to execute code locally.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
