Microsoft har opdaget 72 sårbarheder - flere alvorlige: Du skal patche nu

Denne måneds Patch Tuesday byder endda på en højdespringer med CVSS på 10 ud af 10. Her er gennemgangen du bør læse.

Artikel top billede

(Foto: Peter Conrad / Unsplash)

Microsofts månedlige opgørelse af sikkerhedshuller i deres produkter er landet. Her er den gennemgang af de mest graverende fejl og sårbarheder i denne Patch Tuesday, du som it-professionel bør holde øje med.

Denne måned byder på hele fem zero-days sårbarheder, som der allerede nu udnyttes.

I løbet af ganske kort tid er der altså opdaget fem unikke og friske sårbarheder i Microsoft-universet, der nu første gang bliver udnyttet af hackere.

Derudover er der yderligere to, der har været offentligt kendt uden en tilgængelig rettelse.

Af de 72 rettede sårbarheder vurderes seks som "kritiske", herunder fem Remote Code-sårbarheder. Microsoft har samtidig listet en række alvorlige Azure-fejl, herunder én med en maksimal CVSS-score på 10 ud af 10.

De fem aktivt udnyttede sårbarheder er teknisk set klassificeret som "vigtige" og ikke "kritiske", men bør ifølge flere eksperter stå øverst på patch-listen i virksomhedernes næste change window. Alle fem rammer Windows 10 og 11 samt Windows Server-versioner siden 2019, skriver det britiske techmedie The Register.

Fem fejl udnyttes allerede i praksis

- CVE-2025-30397 – Scripting Engine Memory Corruption:
Gør det muligt at narre Microsofts scripting engine via et typeforvekslingsangreb (type confusion), som giver en uautoriseret angriber mulighed for at eksekvere vilkårlig kode over netværket.

- CVE-2025-30400 – DWM Core Library Elevation of Privilege:
Tillader privilegieeskalering via en "use after free"-fejl i Windows Desktop Window Manager. Windows Server 2025 er også sårbar over for denne fejl.

- CVE-2025-32701 – CLFS Driver Elevation of Privilege:
Endnu en use after free-sårbarhed, denne gang i Common Log File System Driver, som kan give angriberen SYSTEM-rettigheder.

- CVE-2025-32706 – CLFS Driver Input Validation:
Forkert inputvalidering i samme driverkomponent åbner for samme type angreb med samme konsekvens.

- CVE-2025-32709 – WinSock Driver Elevation of Privilege:
Fejl i Windows Ancillary Function Driver for WinSock, som ved udnyttelse giver angriberen fulde administratorrettigheder

Samlet set har de fem sårbarheder CVSS-score på mellem 7,5 og 7,8, hvilket placerer dem i den høje ende af skalaen.

Azure med i pakken – herunder en CVSS 10.0

Udover Windows-rettelserne har Microsoft også inkluderet tre Azure-relaterede sårbarheder i månedens advisering – selvom de allerede er blevet rettet i produktionen. Det sker ifølge Microsoft "for at skabe yderligere gennemsigtighed".

De tre fejl er:

- CVE-2025-29813 – Azure DevOps Authentication Bypass:
Et kritisk angreb med maksimal alvorlighed (CVSS 10.0), der tillader uautoriseret adgang via fejl i autentificeringen.

- CVE-2025-29827 – Azure Automation Elevation of Privilege:
Giver mulighed for lokal privilegieeskalering i Azure Automation-tjenesten.

- CVE-2025-29972 – Azure Storage Spoofing:
Muliggør spoofing-angreb mod Azure Storage.

Selv om de ikke kræver handling fra brugere nu, bør it-afdelinger være opmærksomme på eksistensen af fejlene og sikre sig, at deres systemer allerede er dækket af Microsofts rettelser.

Politiets Efterretningstjeneste

Netværksspecialist der vil være med, når det gælder til PET

Københavnsområdet

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Cyberdivisionen søger Proces Driver i Hvidovre

Københavnsområdet

Navnenyt fra it-Danmark

IFS Danmark A/S har pr. 2. marts 2026 ansat Marlene Gudman som HR Business Partner. Hun skal især beskæftige sig med HR i Danmark og Norden og lede udvalgte internationale HR-projekter. Hun kommer fra en stilling som Nordic Lead HR Business Partner hos Salesforce. Hun har tidligere beskæftiget sig med international HR med fokus på udvikling af og udfordringer i HR ud fra et forretningsperspektiv. Nyt job

Marlene Gudman

IFS Danmark A/S

Trafikstyrelsen har pr. 1. maj 2026 ansat Nihad Hodzic som IT og Digitaliseringschef. Han skal især beskæftige sig med med IT-projekter og digital transformation, herunder især det strategiske løft af Trafikstyrelsens digitale niveau. Han kommer fra en stilling som Kontorchef hos Udviklings og Forenklingsstyrelsen. Han er uddannet i statskundskab og har en lederuddannelse fra MIT Sloan, samt en igangværende Master i IT-Ledelse. Han har tidligere beskæftiget sig med IT-udvikling og større projekter på momsområdet, hvor han har ledet et projekt- og udviklingskontor. Nyt job

Nihad Hodzic

Trafikstyrelsen

SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

Plamena Cherneva

SAP SuccessFactors Partner Pentos

IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

Lasse Hounsgaard

IFS Danmark A/S