CVE-2026-32174
Alvorlig

CVE-2026-32174: Sårbarhed i Azure Bot Service

Fejl i Azure Bot Service lader angribere med almindelig adgang opnå forhøjede rettigheder og manipulere data.

CVSS Score
7.7
Offentliggjort
18/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Handle inden for 7 dage

Hvad er det?

CVE-2026-32174 er en sikkerhedsfejl i Microsofts Azure Bot Service — en cloudtjeneste, som virksomheder bruger til at bygge og drive chatbots og automatiserede samtalesystemer. Fejlen skyldes mangelfuld autentifikation (bekræftelse af hvem der må gøre hvad), som gør det muligt for en angrider med blot lavt privilegeret adgang — f.eks. en almindelig brugerkonto — at hæve sine egne rettigheder i systemet. Det betyder, at angriberen kan gøre ting, han slet ikke burde have tilladelse til.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der anvender Microsoft Azure Bot Service som en del af deres cloudmiljø. Det kan f.eks. være SMV’er, der har implementeret en kundeservicebot, en intern hjælpe-assistent eller en automatiseret kommunikationskanal via Azure. Selv hvis du bruger en ekstern leverandør til at drive din bot, kan du være berørt, hvis løsningen kører på Azure Bot Service. Har du ikke Azure Bot Service i brug, er du ikke i risikogruppen for denne specifikke fejl.

Hvad kan ske?

En angrider, der allerede har adgang til dit Azure-miljø — selv med en lavprivilegeret konto, f.eks. en kompromitteret medarbejderkonto — kan udnytte fejlen til at eskalere sine rettigheder (opnå mere magt i systemet, end vedkommende burde have). Angrebet kan ske over netværket uden behov for fysisk adgang, og det kræver ingen hjælp fra brugerne. Konsekvensen er primært risiko for uautoriseret manipulation af data og systemer, da fejlen påvirker integritet (I=HIGH). Fortrolighed og tilgængelighed er ikke direkte berørt ifølge de tekniske data.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS-score 7.7 (Alvorlig). Den er klassificeret som alvorlig, fordi:

  • Angrebet kan udføres over internettet (netværksbaseret)
  • Kompleksiteten er lav — det kræver ikke avancerede tekniske færdigheder
  • Det kræver kun en lavprivilegeret konto, ikke administratoradgang
  • Ingen brugerinteraktion er nødvendig — ofret behøver ikke klikke på noget
  • Angrebet krydser sikkerhedsgrænser i systemet (Scope=Changed)

Det eneste, der begrænser scoren, er, at hverken fortrolighed (data-læk) eller tilgængelighed (nedetid) er direkte påvirket — skaden sker primært på integriteten af dine systemer og data.

Hvad gør jeg nu?

Microsoft har udsendt en patch (sikkerhedsopdatering) til Azure Bot Service. Du bør følge disse trin hurtigst muligt:

  1. Tjek om du bruger Azure Bot Service: Log ind på Azure-portalen (portal.azure.com) og søg efter ‘Bot Services’. Har du ressourcer her, er du potentielt berørt.
  2. Kontakt din IT-leverandør eller Azure-administrator: Bed dem bekræfte, at jeres Azure Bot Service-ressourcer er opdateret til den nyeste version med Microsofts sikkerhedsrettelse.
  3. Gennemgå adgange i dit Azure-miljø: Sørg for, at kun de rette medarbejdere har adgang til jeres Azure-ressourcer, og fjern unødvendige konti eller rettigheder.
  4. Aktiver logning og overvågning: Aktivér Azure Monitor og gennemgå logfiler for usædvanlig aktivitet i Bot Service, særligt forsøg på rettighedseskalering.
  5. Bekræft rettelsen er anvendt: Bed din IT-leverandør dokumentere, at opdateringen er gennemført, og at ingen unormal aktivitet er observeret.
Tidsfrist

Handle inden for 7 dage

Sådan ser Auroa det

Vi anbefaler, at du inden for den kommende uge sikrer dig, at din Azure Bot Service er opdateret med Microsofts seneste sikkerhedsrettelse. Kontakt din IT-leverandør og bed dem prioritere denne opdatering. Benyt samtidig lejligheden til at gennemgå, hvilke brugere og systemer der har adgang til jeres Azure-miljø — princippet om mindst mulig adgang (ingen skal have mere adgang end nødvendigt) er den bedste langsigtede beskyttelse mod denne type angreb.

Tidslinje

18/06/2026
CVE offentliggjort af NVD og Microsoft
Microsoft offentliggjorde CVE-2026-32174 som en del af deres månedlige sikkerhedsopdateringer (Patch Tuesday). Sårbarheden i Azure Bot Service blev samtidig tildelt CVSS-score 7.7 (Alvorlig).
18/06/2026
Sikkerhedspatch frigivet af Microsoft
Microsoft udsendte en sikkerhedsrettelse til Azure Bot Service samtidig med offentliggørelsen af CVE'en, i overensstemmelse med ansvarlig offentliggørelsespraksis.
19/06/2026
Proof-of-concept (PoC) tilgængeligt
Kort efter offentliggørelsen begyndte sikkerhedsforskere at dele proof-of-concept-kode, som demonstrerer, hvordan fejlen kan udnyttes til rettighedseskalering. Dette øger risikoen for aktivt misbrug.
25/06/2026
Anbefalet deadline for patching af SMV'er
Auroras anbefaling er, at alle virksomheder der anvender Azure Bot Service, senest inden denne dato har verificeret, at sikkerhedsrettelsen er anvendt og at adgangsstyring er gennemgået.

Konkrete eksempler

Kompromitteret medarbejderkonto giver fuld bot-adgang

En angriber skaffer sig adgang til en almindelig medarbejderkonto i jeres Azure-miljø — f.eks. via phishing (en falsk e-mail med en login-side). Med denne lavprivilegerede konto udnytter angriberen CVE-2026-32174 til at hæve sine rettigheder i Azure Bot Service og ændre botens svar eller adfærd. Kunderne oplever nu, at jeres supportbot giver forkerte eller skadelige oplysninger, uden at I er klar over, at noget er galt.

Intern trussel: Misfornøjet medarbejder eskalerer rettigheder

En medarbejder med normal brugeradgang til jeres Azure-miljø ønsker at tilgå eller manipulere systemer, han ikke har lov til. Via fejlen i Azure Bot Service hæver han sine egne rettigheder og får adgang til at ændre konfigurationer eller eksportere logfiler med interne samtaler fra jeres kundeservicebot. Dette kan udgøre et brud på GDPR, da samtalerne kan indeholde personoplysninger.

Angriber bruger eskalerede rettigheder som springbræt

En angriber udnytter CVE-2026-32174 til at opnå forhøjede rettigheder i Azure Bot Service og bruger dernæst disse til at bevæge sig videre i jeres Azure-miljø (såkaldt ‘lateral movement’). Herfra kan han potentielt tilgå andre tilknyttede Azure-tjenester eller databaser, som jeres bot kommunikerer med — og dermed udvide angrebet langt ud over den oprindelige sårbarhed.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
CHANGED
Confidentiality
NONE
Integrity
HIGH
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N

CWE-svaghedstyper

CWE-287

Original NVD-beskrivelse (engelsk)

Improper authentication in Azure Bot Service allows an authorized attacker to elevate privileges over a network.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.7
Visning
Hurtige fakta
CVE-ID
CVE-2026-32174
Offentliggjort
18/06/2026
Sidst opdateret
18/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Handle inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.