Forside Teknologi Microsoft-fejl udnyttes aktivt af russiske spioner: Opdatér Windows før det...

Microsoft-fejl udnyttes aktivt af russiske spioner: Opdatér Windows før det er for sent

Microsoft-fejl udnyttes aktivt af russiske spioner: Opdatér Windows før det er for sent
Foto: Senest.dk / AI Genereret

En zero-click sårbarhed i Windows Shell sender brugerens login-data direkte til angriberen, blot ved at åbne en mappe.

Tirsdag den 12. maj udløb fristen for amerikanske myndigheder til at lukke sikkerhedshullet CVE-2026-32202 i Windows, efter at Cybersecurity and Infrastructure Security Agency (CISA) tilføjede det til kataloget over aktivt udnyttede sårbarheder den 28. april. Danske hjemmebrugere har ingen lovbestemt deadline, men anbefalingen er den samme: kør Windows Update.

Microsoft klassificerer fejlen som en beskyttelsesmekanisme-fejl i Windows Shell, der tillader spoofing over et netværk. I praksis betyder det, at en angriber kan narre Windows til at sende offerets login-oplysninger til en server, angriberen kontrollerer. CVSS-scoren er 4.3, altså i den moderate ende, men det er den minimale brugerhandling, der gør sårbarheden alvorlig.

Sådan virker angrebet

Sårbarheden udnyttes via en LNK-fil, en almindelig Windows-genvej. Når brugeren blot åbner en mappe med en ondsindet LNK-fil, henter Windows Explorer automatisk genvejens ikon, og det starter en SMB-forbindelse, altså en netværksforbindelse, til angriberens server. Hashet med login-data udveksles uden at brugeren har klikket på noget.

Akamai-forskeren Maor Dahan, der opdagede fejlen, har forklaret til Help Net Security, at Microsofts februar-rettelse lukkede den oprindelige fejl, der tillod fjernudførelse af kode, men efterlod selve mekanismen, der tvinger offerets maskine til at sende sine loginoplysninger ud på netværket. Det stjålne Net-NTLMv2-hash kan herefter bruges til at logge ind som offeret på andre systemer på netværket eller knækkes offline for at finde adgangskoden.

Hullet er en direkte konsekvens af en ufuldstændig rettelse fra februar. Den oprindelige fejl, CVE-2026-21510, blev udnyttet af den russisk-koblede gruppe APT28, også kendt som Fancy Bear, i angreb mod Ukraine og flere EU-lande i december 2025. Den nye sårbarhed har Microsoft endnu ikke koblet direkte til APT28, men advarslen om aktiv udnyttelse blev sendt ud alligevel.

Hvilke Windows-versioner rammes

Listen over sårbare produkter i National Vulnerability Database dækker stort set hele den nyere Windows-portefølje:

– Windows 10 version 1607, 1809, 21H2 og 22H2 – Windows 11 version 23H2, 24H2, 25H2 og 26H1 – Flere udgaver af Windows Server

Med andre ord står langt de fleste Windows-maskiner i Danmark på listen.

Sådan tjekker du, om din pc er patchet

Microsoft udsendte rettelsen den 14. april 2026 som en del af månedens samlede sikkerhedsopdatering. For Windows 11 24H2 og 25H2 hedder den KB5083769 og opdaterer systemet til build 26100.8246 (24H2) eller 26200.8246 (25H2). Opdateringen hentes og installeres automatisk via Windows Update.

Sådan tjekker du din maskine:

1. Tryk på Windows-tasten og skriv “Windows Update” 2. Vælg “Søg efter opdateringer” 3. Sørg for at installation gennemføres og maskinen genstartes

Det aktuelle build-nummer kan du verificere ved at trykke Windows-tasten, skrive “winver” og trykke Enter. Står der build 26100.8246 eller højere på 24H2, eller 26200.8246 eller højere på 25H2, er sårbarheden lukket.

For virksomheder anbefaler Help Net Security derudover at blokere udgående SMB-trafik på port 445 ved netværksperimeteret. Det afbryder den kanal, angrebet bruger til at sende hash-værdier ud af netværket, og giver et ekstra lag beskyttelse, hvis en maskine ikke når at blive patchet i tide.

Ads by MGDK