CVE-2026-57100
Kritisk

CVE-2026-57100: Kritisk fejl i Microsoft Entra

Kritisk fejl i Microsoft Entra lader angribere overtage systemer via netværket – opdater straks.

CVSS Score
9.9
Offentliggjort
02/07/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 24-48 timer

Hvad er det?

CVE-2026-57100 er en kritisk sikkerhedsfejl i Microsoft Entra Provisioning Service (også kaldet SyncFabric), som er den del af Microsoft Entra der automatisk synkroniserer brugerkonti og adgange på tværs af systemer.

Fejlen kaldes SSRF – Server-Side Request Forgery – hvilket betyder, at en angriber kan narre serveren til at sende forespørgsler på vegne af angriberen til interne systemer, som normalt ikke er tilgængelige udefra. På den måde kan angriberen eskalere sine rettigheder (få adgang til mere, end de burde) og potentielt overtage kritiske dele af din it-infrastruktur.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer der bruger Microsoft Entra (tidligere Azure Active Directory) med Provisioning Service aktiveret. Det gælder særligt hvis du:

  • Bruger Microsoft 365, Azure eller andre Microsoft-skytjenester med automatisk brugeroprettelse/-synkronisering
  • Har integreret Microsoft Entra med HR-systemer, SaaS-applikationer eller andre tjenester via provisioning
  • Tillader medarbejdere eller partnere at logge ind med Entra-konti

En angriber behøver kun en almindelig brugerkonto i dit system for at udnytte fejlen – det kræver ikke administrator-rettigheder på forhånd.

Hvad kan ske?

Hvis fejlen udnyttes, kan en angriber med blot en simpel brugerkonto:

  • Eskalere sine rettigheder – få administrator- eller systemadgang uden tilladelse
  • Tilgå fortrolige data – læse følsomme oplysninger om medarbejdere, kunder og forretningskritiske systemer
  • Ændre eller slette data – manipulere brugerkonti, adgange og konfigurationer
  • Lamme systemer – forstyrre adgangen til Microsoft-baserede tjenester og forretningsprocesser
  • Bevæge sig videre ind i netværket – bruge den opnåede adgang som springbræt til andre systemer

CVSS-scoren er 9.9 ud af 10, hvilket er ekstremt alvorligt. Angrebet kan udføres over internettet uden fysisk adgang og uden avancerede tekniske færdigheder.

Hvor alvorligt er det?

Denne sårbarhed er klassificeret som Kritisk med en CVSS-score på 9.9 ud af 10 – det er næsten det højeste mulige. Det skyldes kombinationen af:

  • Netværksangreb: Kan udnyttes helt udefra via internettet
  • Lav kompleksitet: Kræver ikke avanceret viden eller særlige forberedelser
  • Lave krav til angriberen: En helt almindelig brugerkonto er nok
  • Ingen brugerinteraktion: Offeret skal ikke klikke på noget eller gøre noget forkert
  • Fuld CIA-impact: Fortrolighed, integritet og tilgængelighed er alle i høj risiko

Kort sagt: En angriber med adgang til blot én brugerkonto kan potentielt overtage hele din Microsoft Entra-infrastruktur.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt – helst inden for 24-48 timer:

  1. Tjek Microsoft Security Update Guide: Gå til msrc.microsoft.com og søg på CVE-2026-57100 for at finde den seneste patch og vejledning fra Microsoft.
  2. Installér tilgængelige opdateringer: Anvend alle sikkerhedsopdateringer relateret til Microsoft Entra Provisioning Service øjeblikkeligt.
  3. Gennemgå adgange: Kontrollér hvem der har konti i jeres Microsoft Entra-miljø – fjern ubrugte eller ukendte konti straks.
  4. Aktiver logning og overvågning: Sørg for at have logning aktiveret i Microsoft Entra og Microsoft 365 Defender, så du kan opdage mistænkelig aktivitet.
  5. Begræns provisioning-adgang: Hvis det er muligt, begræns hvilke systemer og tjenester der har adgang til Entra Provisioning Service, indtil patch er installeret.
  6. Kontakt jeres it-leverandør: Hvis du bruger ekstern it-support, kontakt dem nu og bed dem prioritere opdateringen.
Tidsfrist

Opdater inden for 24-48 timer

Sådan ser Auroa det

Med en CVSS-score på 9.9 og et angrebsmønster der ikke kræver andet end en simpel brugerkonto, bør denne sårbarhed behandles som en akut hændelse. Vi anbefaler, at du installer Microsofts sikkerhedsopdatering med det samme og efterfølgende gennemgår alle brugerkonti og adgange i dit Entra-miljø. Overvej desuden at aktivere Microsoft Defender for Identity, hvis du ikke allerede bruger det – det giver dig tidlig advarsel hvis nogen forsøger at misbruge privilegier. Har du brug for hjælp til at vurdere din eksponering eller implementere opdateringen, er du velkommen til at kontakte os.

Tidslinje

02/07/2026
CVE offentliggjort
Microsoft og NVD offentliggør CVE-2026-57100. Sårbarheden i Microsoft Entra Provisioning Service (SyncFabric) beskrives som kritisk med CVSS-score 9.9.
02/07/2026
Sikkerhedsopdatering frigivet
Microsoft frigiver patch som del af den koordinerede offentliggørelse. Opdateringen er tilgængelig via Microsoft Security Update Guide og bør installeres straks.
03/07/2026
Proof-of-Concept forventes tilgængeligt
Baseret på sårbarhedens karakter og høje CVSS-score forventes tekniske beviser (PoC) for udnyttelse at dukke op i sikkerhedsmiljøet inden for dage efter offentliggørelsen.
07/07/2026
Aktivt misbrug forventet inden for uger
Kritiske SSRF-sårbarheder i udbredte Microsoft-tjenester bliver historisk set aktivt udnyttet inden for 1-2 uger efter offentliggørelse. Virksomheder der ikke har patchet er i særlig høj risiko fra dette tidspunkt.

Konkrete eksempler

Angriber eskalerer fra normal bruger til administrator

En angriber får fat i login-oplysningerne til en almindelig medarbejderkonto – f.eks. via phishing. Med denne konto udnytter angriberen SSRF-fejlen til at sende interne forespørgsler til Entra-infrastrukturen og eskalerer sine rettigheder til administrator-niveau. Herefter kan angriberen oprette nye administratorkonti, ændre adgangspolitikker og låse den rigtige it-afdeling ude af systemerne.

Adgang til fortrolige HR- og kundedata

En virksomhed har integreret sit HR-system med Microsoft Entra via Provisioning Service. En angriber udnytter SSRF-fejlen til at sende forespørgsler til det interne HR-system og trækker følsomme oplysninger ud – herunder løn, CPR-numre og ansættelseskontrakter. Dataene kan bruges til afpresning eller sælges på kriminelle markeder.

Sabotage af brugeradgang og forretningsdrift

En angriber bruger den eskalerede adgang til systematisk at deaktivere eller ændre brugerkonti i Microsoft Entra, så medarbejdere ikke længere kan logge ind på Teams, Outlook og forretningssystemer. Resultatet er et komplet driftstop, der kan koste virksomheden mange timers tabt arbejde og potentielt brud på SLA-aftaler med kunder.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

CWE-svaghedstyper

CWE-918

Original NVD-beskrivelse (engelsk)

Server-side request forgery (ssrf) in Microsoft Entra Provisioning Service (SyncFabric) allows an authorized attacker to elevate privileges over a network.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.9
Visning
Hurtige fakta
CVE-ID
CVE-2026-57100
Offentliggjort
02/07/2026
Sidst opdateret
02/07/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.