CVE-2026-50508: Sårbarhed i Windows NTLM
Sårbarhed i Windows NTLM kan afsløre følsomme oplysninger for angribere via netværket uden særlige rettigheder.
Hvad er det?
CVE-2026-50508 er en sårbarhed i Windows’ indbyggede godkendelsessystem kaldet NTLM (Net LAN Manager — det system Windows bruger til at bekræfte brugeres identitet på et netværk). Fejlen betyder, at en angriber uden nogen form for forudgående adgang kan narre Windows til at udlevere følsomme oplysninger — eksempelvis adgangskoder i krypteret form — blot ved at få en bruger til at klikke på et ondsindet link eller åbne en fil. Selve angrebet kræver ingen særlige rettigheder fra angriberens side, men kræver at en bruger foretager en handling, f.eks. åbner en e-mail eller besøger en hjemmeside.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger følgende Microsoft-produkter:
- Windows 10 version 1607
- Windows 11 version 22H2
- Windows Server 2004, 2012, 2016 og 2022
Er du en SMV med Windows-computere eller -servere, er der god sandsynlighed for, at du er berørt. Særligt Windows Server 2012 og 2012 R2 er kritiske, da de er udgåede produkter uden automatisk support fra Microsoft.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan vedkommende:
- Stjæle krypterede versioner af dine brugeres adgangskoder (såkaldte NTLM-hashes), som efterfølgende kan knækkes eller genbruges direkte til at logge ind på systemer
- Udgive sig for at være en legitim bruger på dit netværk (spoofing)
- Få adgang til følsomme data, interne systemer eller filer som brugeren normalt har adgang til
Angrebet påvirker udelukkende fortrolighed — dine data kan altså læses og stjæles, men selve systemerne ændres eller lukkes ikke ned som direkte konsekvens af denne sårbarhed alene.
Hvor alvorligt er det?
Sårbarheden er vurderet til moderat (CVSS 6.5 ud af 10). Det er ikke den mest kritiske kategori, men den bør tages alvorligt af flere årsager:
- Angrebet kan udføres over internettet uden nogen form for forudgående adgang til dit system
- Det er teknisk enkelt at udføre — angriberen behøver blot at narre en bruger til at interagere med noget ondsindet
- Konsekvensen er høj fortrolighedsrisiko — dine adgangskoder og data kan kompromitteres
- Windows Server 2012 og 2012 R2 modtager ikke længere sikkerhedsopdateringer fra Microsoft, hvilket gør disse systemer særligt udsatte
Hvad gør jeg nu?
Du bør handle inden for den nærmeste uge. Følg disse trin:
- Opdatér Windows med det samme: Installer de seneste sikkerhedsopdateringer fra Microsoft på alle berørte systemer. Relevante versioner: Windows 10 til 10.0.14393.9234 eller nyere, Windows 11 til 10.0.22631.7219 eller nyere, Windows Server 2022 til 10.0.20348.5256 eller nyere.
- Tjek dine servere: Er du stadig på Windows Server 2012 eller 2012 R2, skal du overveje en opgradering hurtigst muligt, da disse systemer ikke modtager sikkerhedsrettelser.
- Overvåg for mistænkelig aktivitet: Bed din IT-ansvarlige eller -leverandør om at tjekke logfiler for usædvanlige godkendelsesforsøg på dit netværk.
- Informér dine medarbejdere: Gør dem opmærksomme på ikke at klikke på links eller åbne filer fra ukendte afsendere, da angrebet kræver en brugerhandling.
- Overvej at begrænse NTLM: Hvis det er muligt i din infrastruktur, kan du i samarbejde med din IT-leverandør vurdere at begrænse brugen af NTLM til fordel for nyere og sikrere godkendelsesmetoder som Kerberos.
Opdatér inden for 7 dage
Auroas anbefaling er klar: Installer Microsofts sikkerhedsopdateringer på alle berørte Windows-systemer så hurtigt som muligt — helst inden for denne uge. Har du Windows Server 2012 eller 2012 R2 i drift, bør du allerede nu planlægge en opgradering til en støttet version, da disse systemer er uden beskyttelse. Kontakt din IT-leverandør, hvis du er i tvivl om, hvilke systemer der er berørte, eller om din virksomhed allerede er opdateret.
Tidslinje
Konkrete eksempler
Phishing-e-mail med ondsindet link
En angriber sender en e-mail til en medarbejder i din virksomhed med et link til en tilsyneladende harmløs fil eller side. Når medarbejderen klikker på linket, udløses en NTLM-godkendelsesanmodning i baggrunden, som sender medarbejderens krypterede adgangskode til angriberens server. Angriberen kan derefter forsøge at knække koden eller bruge den direkte til at logge ind på virksomhedens systemer.
Ondsindet fil delt via virksomhedens netværk
En angriber, der har fået fodfæste på en computer i dit netværk, placerer en ondsindet fil i en delt mappe. Når en anden medarbejder åbner mappen i Windows Stifinder, forsøger Windows automatisk at hente et ikon til filen — og i den proces lækkes medarbejderens NTLM-godkendelsesoplysninger til angriberen. Dette kan ske helt uden at medarbejderen åbner selve filen.
Kompromitteret hjemmeside udnytter besøgende
En medarbejder besøger en hjemmeside, der er blevet hacket og indeholder skjult ondsindet kode. Koden tvinger brugerens Windows-maskine til at sende en NTLM-godkendelsesanmodning til en ekstern server kontrolleret af angriberen. Angriberen modtager nu en krypteret version af medarbejderens Windows-adgangskode, som kan bruges til videre angreb mod virksomhedens infrastruktur.
Ofte stillede spørgsmål
Hvad er NTLM, og bruger vi det?
NTLM (NT LAN Manager) er et ældre godkendelsesprotokol, som Windows bruger til at bekræfte brugeridentiteter på et netværk. Langt de fleste virksomheder med Windows-computere og -servere bruger stadig NTLM i en eller anden form, selvom det ofte sker i baggrunden uden at brugerne er klar over det.
Kræver angrebet, at vi har åbnet noget specifikt?
Ja, angrebet kræver at en medarbejder foretager en handling — for eksempel klikker på et ondsindet link, åbner en fil eller besøger en kompromitteret hjemmeside. Det betyder, at god e-mail-sikkerhed og opmærksomme medarbejdere er et vigtigt forsvar ved siden af opdateringen.
Vi kører Windows Server 2012 — hvad gør vi?
Windows Server 2012 og 2012 R2 er udgåede produkter, som Microsoft ikke længere udgiver sikkerhedsopdateringer til (med mindre du har købt Extended Security Updates). Det betyder, at disse systemer forbliver sårbare. Du bør snarest muligt planlægge en opgradering til Windows Server 2022 eller en nyere version. Kontakt din IT-leverandør for hjælp til at planlægge migreringen.
Kan angriberen få fuld kontrol over vores systemer?
Ikke direkte via denne sårbarhed alene. Sårbarheden giver primært adgang til følsomme oplysninger som krypterede adgangskoder. Men disse oplysninger kan efterfølgende bruges til at eskalere angrebet og opnå adgang til systemer og data. Det er derfor vigtigt at handle hurtigt, selv om CVSS-scoren er moderat.
Er vi beskyttet, hvis vi bruger antivirus?
Antivirus er en god beskyttelsesforanstaltning, men det er ikke tilstrækkeligt i dette tilfælde. Den primære løsning er at opdatere Windows med Microsofts sikkerhedsrettelse. Antivirus kan muligvis opdage kendte angrebsværktøjer, men selve den underliggende sårbarhed lukkes kun ved opdatering.
Hvordan ved jeg, om vi allerede er blevet angrebet?
Det kan være svært at opdage uden overvågningsværktøjer. Bed din IT-ansvarlige eller -leverandør om at gennemgå netværks- og godkendelseslogfiler for usædvanlige mønstre, f.eks. mange mislykkede login-forsøg eller ukendte enheder, der forsøger at tilgå interne ressourcer. Jo hurtigere du opdaterer, desto mindre er risikoen for fremtidige angreb.
Ramte produkter
Microsoft — Windows 10 1607
< 10.0.14393.9234
Microsoft — Windows 11 22h2
< 10.0.22631.7219
Microsoft — Windows Server 2004
< 10.0.19045.7417
Microsoft — Windows Server 2012
–
Microsoft — Windows Server 2012
r2
Microsoft — Windows Server 2016
< 10.0.14393.9234
Microsoft — Windows Server 2022
< 10.0.20348.5256
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Exposure of sensitive information to an unauthorized actor in Windows NTLM allows an unauthorized attacker to perform spoofing over a network.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
