CVE-2026-45647: Sårbarhed i Microsoft Defender for Endpoint
En fejl i Microsoft Defender for Endpoint lader en lokal bruger skaffe sig administratorrettigheder på din computer.
Hvad er det?
CVE-2026-45647 er en sårbarhed i Microsoft Defender for Endpoint – det antivirusprogram og sikkerhedsværktøj, som mange virksomheder bruger til at beskytte deres computere. Fejlen kaldes en ‘race condition’ (på dansk: et kapløbsproblem), og den opstår fordi programmet tjekker en ting på ét tidspunkt, men bruger den på et andet – og i mellemrummet kan en angriber snige en ændring ind. Resultatet er, at en bruger med begrænsede rettigheder kan løfte sine egne rettigheder til administratorniveau uden at have tilladelse til det.
Hvem rammer det?
Sårbarheden rammer alle virksomheder, der bruger Microsoft Defender for Endpoint i en version ældre end 101.26042.0011. Det gælder typisk:
- Virksomheder med Windows-computere tilmeldt Microsoft 365 Business Premium eller lignende erhvervsabonnementer
- Organisationer, der bruger Defender for Endpoint som deres primære endpoint-sikkerhedsløsning
- Virksomheder, hvor ikke alle computere er sat til automatisk opdatering
Hvad kan ske?
En angriber, der allerede har adgang til din computer som en almindelig bruger – for eksempel en utilfreds medarbejder, en hacker der har fået fodfæste via phishing, eller malware der kører med begrænsede rettigheder – kan udnytte fejlen til at skaffe sig fuld administratoradgang. Med administratorrettigheder kan vedkommende:
- Installere skadelig software uden begrænsninger
- Slå sikkerhedsværktøjer fra, herunder Defender selv
- Tilgå og ændre filer, som kun administratorer normalt kan røre ved
- Skjule sin tilstedeværelse og sine spor på systemet
Det er vigtigt at understrege, at angriberen skal have fysisk eller fjernadgang til computeren i forvejen. Fejlen kan ikke udnyttes udefra alene.
Hvor alvorligt er det?
Sårbarheden er vurderet til moderat alvorlighed med en CVSS-score på 5,5 ud af 10. Det betyder ikke, at den er uvæsentlig – men den kræver, at angriberen allerede har en form for adgang til systemet. Den største risiko opstår i kombination med andre angreb, for eksempel hvis en medarbejder åbner en phishing-mail, der giver angriberen et første fodfæste, og derefter bruges denne fejl til at eskalere rettighederne. Fortrolighed og tilgængelighed af data påvirkes ikke direkte, men integriteten (muligheden for at ændre data og systemer) er høj i risikovurderingen.
Hvad gør jeg nu?
Du bør opdatere Microsoft Defender for Endpoint hurtigst muligt. Følg disse trin:
- Tjek din version: På de berørte computere kan du åbne Microsoft Defender-appen og finde versionsoplysninger under Indstillinger. Du leder efter versionsnummer 101.26042.0011 eller højere.
- Opdater via Microsoft Update: Sørg for, at Windows Update er aktiveret og kør en manuel søgning efter opdateringer på alle virksomhedens computere.
- Brug Intune eller anden MDM: Hvis I styrer jeres computere centralt via Microsoft Intune eller et lignende værktøj, kan I skubbe opdateringen ud til alle enheder på én gang.
- Begræns lokale brugerrettigheder: Som en generel god praksis bør medarbejdere ikke have administratorrettigheder til daglig brug – det begrænser skaden, hvis en sårbarhed som denne forsøges udnyttet.
- Kontakt jeres IT-leverandør: Hvis I er usikre på om opdateringen er gennemført på alle enheder, så bed jeres IT-support om at bekræfte det.
Opdater inden for 7 dage
Vi anbefaler, at du prioriterer opdateringen af Microsoft Defender for Endpoint på alle virksomhedens computere inden for den næste uge. Selvom sårbarheden kræver lokal adgang, er kombinationen med andre angrebsmetoder realistisk i en virksomhedskontekst. Brug lejligheden til at gennemgå, om dine medarbejdere har de rette – og ikke for brede – rettigheder på deres arbejdscomputere. Det er en af de mest effektive måder at begrænse skaden ved denne type angreb.
Tidslinje
Konkrete eksempler
Den utilfredse medarbejder
En medarbejder med adgang til en arbejdscomputer, men uden administratorrettigheder, downloader et lille script fra internettet, der udnytter race condition-fejlen i Defender for Endpoint. Ved at køre scriptet skaffer medarbejderen sig administratorrettigheder og kan nu tilgå løn- og kundedata, som vedkommende normalt ikke har adgang til, eller slette vigtige filer inden fratrædelse.
Phishing som springbræt
En medarbejder klikker på et ondsindet link i en e-mail, som installerer et lille stykke malware med begrænsede rettigheder. Malwaren bruger derefter CVE-2026-45647 til at eskalere til administratorniveau, deaktivere Defender og installere ransomware. Fordi malwaren nu har fuld adgang, kan den kryptere alle filer på computeren og eventuelt sprede sig til andre computere på virksomhedens netværk.
IT-konsulent med for brede rettigheder
En ekstern IT-konsulent får midlertidig adgang til en computer med en standard brugerkonto for at udføre support. Konsulenten udnytter sårbarheden til at hæve sine egne rettigheder til administrator, og installerer derefter fjernadgangssoftware, der giver vedkommende permanent adgang til virksomhedens systemer – også efter den officielle adgang er ophørt.
Ofte stillede spørgsmål
Skal jeg bekymre mig, hvis mine medarbejdere ikke er administratorer på deres computere?
Det reducerer risikoen markant. Hvis dine medarbejdere allerede kører med begrænsede brugerrettigheder, er det sværere for en angriber at udnytte denne sårbarhed til noget meningsfuldt. Du bør dog stadig installere opdateringen, da det er den rette løsning.
Kan en hacker angribe min virksomhed udefra via denne fejl?
Nej, ikke direkte. Angriberen skal have lokal adgang til computeren – enten fysisk eller via et brugerlogin. Fejlen kan dog kombineres med et phishing-angreb, hvor angriberen først får fodfæste og derefter bruger denne sårbarhed til at eskalere sine rettigheder.
Opdaterer Microsoft Defender sig ikke automatisk?
Microsoft Defender opdaterer typisk sine virusdefinitioner automatisk, men selve programopdateringer (som denne rettelse kræver) kan kræve en fuld Windows Update. Det er vigtigt at sikre, at Windows Update er aktiveret og ikke er blokeret af en politikindstilling i jeres virksomhed.
Påvirker dette min Microsoft 365-licens eller andre Microsoft-tjenester?
Nej, sårbarheden er isoleret til Defender for Endpoint-klienten på computerne. Dine cloudtjenester som e-mail, Teams og SharePoint er ikke direkte berørt af denne fejl.
Hvad er en 'race condition', og hvorfor er det svært at undgå?
En race condition opstår, når et program udfører to handlinger i rækkefølge – tjek og brug – og en angriber kan ændre noget i det korte tidsrum imellem. Det er en klassisk programmeringsfejl, der kan være svær at opdage, fordi den kræver præcis timing at udnytte. Microsoft har rettet den i den nyeste version.
Ramte produkter
Microsoft — Defender For Endpoint
< 101.26042.0011
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Time-of-check time-of-use (toctou) race condition in Microsoft Defender for Endpoint allows an authorized attacker to elevate privileges locally.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
