Morten Lyhne Petersen
Et alvorligt hul i Windows-kernen lader en angriber tage fuld kontrol over computeren, og en færdig exploit ligger nu offentligt.
Hullet rammer Windows 11 i versionerne 24H2 og 25H2 samt Windows Server 2025, og en sikkerhedsforsker offentliggjorde 27. maj selve angrebskoden på GitHub.
Microsoft har lukket hullet i den månedlige opdatering fra 12. maj, men maskiner der ikke er kørt igennem Windows Update sidste par uger, står stadig åbne. Sårbarheden er registreret som CVE-2026-40369 og har fået CVSS-karakteren 7,8 ud af 10, hvilket vil sige høj alvorlighed.
Det betyder SYSTEM-rettigheder for dig
Når sikkerhedsfolk taler om at en angriber kan komme op på SYSTEM, betyder det i praksis at programmet får højere rettigheder end både dig og en almindelig administrator. NT AUTHORITY\SYSTEM er den konto Windows selv bruger til at køre kernen, og en proces på det niveau kan læse alle filer, installere drivere, slå antivirus fra og oprette nye brugere uden at spørge om noget.
Hullet er ekstra ubehageligt fordi det kan udløses fra en browser-sandkasse. En forsker har vist, at fejlen kan nås fra renderer-processerne i Chrome, Edge og Firefox, hvilket potentielt giver en kompromitteret hjemmeside en vej fra browseren og ned i selve operativsystemet.
Sådan ser angrebet ud
Fejlen ligger i kernefunktionen ExpGetProcessInformation inde i ntoskrnl.exe. Når en proces kalder Windows-funktionen NtQuerySystemInformation med informationsklasse 253 og en bufferlængde på nul, springer kernen sin egen validering over. Det giver angriberen mulighed for at lægge 12 byte oven i en vilkårlig adresse i kernehukommelsen.
Den lille skriveadgang er nok til, at forskeren Ori Nimron har bygget en fuld kæde, der ender med kommandolinjeadgang som SYSTEM. Microsoft har selv vurderet sårbarheden som “Exploitation More Likely”, altså mere sandsynlig at blive misbrugt end gennemsnittet.
Exploiten blev oprindeligt udviklet til Pwn2Own Berlin 2026, men da bidraget ikke kom med på konkurrencen, valgte forskeren at lægge hele angrebskoden offentligt frem efter at patchen var sluppet ud.
Tjek Windows Update på tre trin
Den eneste sikre rettelse er den officielle opdatering fra Microsoft. Tjekket tager under et minut:
-
Tryk på Start-knappen og åbn Indstillinger.
-
Vælg Windows Update i menuen i venstre side.
-
Klik på Søg efter opdateringer, installer alt der dukker op, og genstart maskinen.
Efter genstart bør Windows 11 24H2 være på build 10.0.26100.8390 eller nyere, og Windows 11 25H2 på 10.0.26200.8390 eller nyere, oplyser den amerikanske sårbarhedsdatabase NVD. Build-nummeret kan ses ved at trykke Windows-tasten + R og skrive winver.
Hullet er en del af Microsofts maj-opdatering, der i alt lukker 118 sårbarheder, skriver sikkerhedsfirmaet Tenable i sin gennemgang. Det er første måned siden juni 2024 uden en såkaldt zero-day, altså en fejl der blev misbrugt før patchen kom, men med en offentlig exploit på gaden er CVE-2026-40369 alligevel den vigtigste at få lukket først.
