Kritisk Windows-fejl giver hackere fjernadgang uden kodeord: Opdatér din pc nu

Hullet, der har fået den højest mulige risiko-score blandt netværksbaserede fejl, kan i værste fald sprede sig selv fra maskine til maskine som en orm. Opdateringen blev sendt ud tirsdag den 9. juni, og almindelige Windows 11-brugere bør hente den med det samme.

Sårbarheden bærer betegnelsen CVE-2026-45657 og sidder i selve Windows-kernen, det inderste lag af styresystemet. Ifølge den tekniske beskrivelse hos Tenable er der tale om en såkaldt use-after-free-fejl, der gør det muligt at køre kode fra et eksternt netværk uden at logge ind. Risikoen er sat til 9,8 ud af 10 på den internationale CVSS-skala.

Hackeren skal ikke gætte et password

Det særlige ved fejlen er, at en angriber ikke behøver hverken brugernavn, password eller et klik fra den uheldige bruger.

Microsoft beskriver mekanismen sådan — gengivet i The Hacker News’ gennemgang af opdateringen: “En angriber kan udnytte denne sårbarhed ved at sende specielt udformet netværkstrafik til et sårbart Windows-system. Hvis det lykkes, kan de ondsindede netværkspakker udløse en fejl i den måde, Windows-kernen behandler bestemte TCP/IP-data, og potentielt give angriberen mulighed for at køre kode med system-niveau-privilegier uden at skulle logge ind eller interagere med en bruger.”

System-niveau er det højeste adgangsniveau på en Windows-maskine. Lykkes angrebet, har hackeren reelt fuld kontrol over computeren.

Frygten er en ny WannaCry

Fejlen er klassificeret som “wormable”, altså selvspredende. Det betyder, at et inficeret system selv kan finde og smitte andre sårbare maskiner videre på samme netværk, uden menneskelig hjælp. Det er præcis den mekanisme, der gjorde WannaCry-angrebet i 2017 til en global krise.

Zero Day Initiative, en af verdens største platforme for sårbarhedsforskning, advarer om, at jagten på et brugbart angrebsværktøj allerede er i gang. “Vær sikker på, at hver forsker og hvert bug-firma på planeten lige nu er i gang med at vende patchen på vrangen i forsøget på at lave et exploit,” skriver analytikeren bag ZDI’s gennemgang af junis sikkerhedsopdateringer. Anbefalingen er kortfattet: test og udrul opdateringen hurtigt.

Microsoft selv vurderer foreløbig sandsynligheden for et reelt angreb som “mindre sandsynlig”. Den vurdering kan dog ændre sig, hvis nogen knækker patchen via reverse engineering og offentliggør et angrebsværktøj.

Sådan opdaterer du din pc

Den danske Windows-base er stor, og fejlen rammer både private hjemme-pc’er og virksomheder, der kører Windows 11 i versionerne 23H2, 24H2, 25H2 og 26H1. Opdateringen leveres som KB5094126 for nyere versioner og KB5093998 for 23H2, oplyser Bleeping Computer.

Sådan henter du opdateringen manuelt:

1. Tryk på Start-knappen og åbn Indstillinger.

2. Vælg Windows Update i menuen i venstre side.

3. Klik på Søg efter opdateringer.

4. Lad opdateringen hente og installere, og genstart pc’en, når Windows beder om det.

De fleste pc’er henter selv opdateringen via Windows Update, hvis automatisk opdatering ikke er sat på pause. Brugere, der har udskudt opdateringer, bør slå dem til igen.

En historisk stor opdatering

CVE-2026-45657 er ikke det eneste alvorlige hul i denne måneds opdatering. Microsoft lukkede samlet 208 sårbarheder, hvoraf to andre også har topkarakteren 9,8: en fejl i HTTP.sys og en i Windows DHCP Client. Det er den største enkelt-opdatering i Patch Tuesday-programmets historie, ifølge Security Affairs.

Tre af sårbarhederne var allerede offentligt kendte, da opdateringen blev sendt ud. Det øger sandsynligheden for, at angribere allerede arbejder på at udnytte dem.