Microsoft har patchat en kritisk sårbarhet i Windows IKE Extension (ikeext.dll) som gör det möjligt för en oautentiserad angripare att köra godtycklig kod på distans med SYSTEM-behörigheter. Sårbarheten, som spåras som CVE-2026-33824, har fått CVSS-poängen 9.8 av 10.

Tekniska detaljer

Sårbarheten orsakas av ett så kallat "double free"-fel i minneshanteringen inom Windows IKE Service Extensions. Samma minnesområde frigörs två gånger under bearbetning av specialutformade IKE-paket, vilket kan leda till heap-korruption och i slutändan ge en angripare kontroll över exekveringsflödet.

Exploatering sker helt över nätverket och kräver varken autentisering, giltiga VPN-uppgifter eller någon form av användarinteraktion. En angripare behöver bara kunna skicka specialutformad IKE-trafik till ett sårbart system via UDP-portarna 500 och 4500, som är standardportar för IKE och IKE NAT-traversal.

Vilka system påverkas?

Sårbarheten påverkar ett brett spektrum av Windows-plattformar:

• Windows Server 2016 till Windows Server 2025
• Flera versioner av Windows 10 och Windows 11 på olika systemarkitekturer

System som inte har installerat Microsofts säkerhetsuppdateringar från april 2026 bör betraktas som sårbara.

Varför är detta allvarligt?

Internet Key Exchange används ofta vid nätverksperimetern för att stödja site-to-site VPN, fjärråtkomst-VPN och Windows Always On VPN. Dessa system sitter vid gränsen mellan externa och interna nätverk och är ofta betrodda av design.

En komprometterad VPN-gateway kan underminera nätverkssegmentering och ge direkt åtkomst till intern infrastruktur. VPN-tjänster stödjer ofta distansarbetare, partners och tredjepartsåtkomst, vilket innebär att incidenthantering kan kräva att drabbade system tas offline med driftstopp som följd.

Åtgärder

Microsoft släppte säkerhetsuppdateringar för CVE-2026-33824 den 14 april 2026 som en del av Patch Tuesday. Organisationer som kör VPN-infrastruktur på Windows bör prioritera att installera uppdateringen omedelbart. I väntan på patchning bör man överväga att begränsa åtkomst till UDP-portarna 500 och 4500 till betrodda IP-adresser.

Vid tidpunkten för publicering finns ingen bekräftad aktiv exploatering, men sårbarheten har fått en hög bedömning för sannolikhet att utnyttjas i verkligheten.