CVE-2026-48567: Kritisk sårbarhed i Azure HorizonDB
Kritisk sårbarhed i Microsoft Azure HorizonDB lader angribere omgå login og få fuld kontrol over netværket uden adgangskode.
Hvad er det?
CVE-2026-48567 er en kritisk sårbarhed i Microsoft Azure HorizonDB – en cloudbaseret databasetjeneste. Fejlen skyldes en svaghed kaldet authentication bypass by spoofing, hvilket betyder, at en angriber kan narre systemet til at tro, at han er en legitim bruger – uden nogensinde at kende en adgangskode. Teknisk set er fejlen klassificeret som CWE-290, som beskriver situationer, hvor et system kan snydes ved at forfalske sin identitet. Resultatet er, at angriberen kan hæve sine egne rettigheder (såkaldt privilege escalation) og dermed potentielt overtage kontrol over data og systemer, der er koblet til HorizonDB.
Hvem rammer det?
Sårbarheden rammer alle virksomheder og organisationer, der bruger Microsoft Azure HorizonDB som en del af deres it-infrastruktur. Det kan være virksomheder, der gemmer kundedata, forretningskritiske oplysninger eller interne systemer i Azure-skyen. Fordi angrebet kan udføres over nettet uden forudgående adgang eller særlige tekniske forudsætninger, er selv mindre virksomheder i risikogruppen – det kræver ikke, at angriberen kender din virksomhed på forhånd.
Hvad kan ske?
En angriber, der udnytter denne sårbarhed, kan:
- Få uautoriseret adgang til din virksomheds database i Azure
- Ændre eller slette data i HorizonDB (høj integritetspåvirkning)
- Gøre databasen utilgængelig, så din virksomhed ikke kan arbejde normalt (høj tilgængelighedspåvirkning)
- Potentielt bevæge sig videre til andre systemer og tjenester, der er koblet til databasen
Bemærk: Selve datalæsningen (fortrolighed) er vurderet som ikke direkte påvirket ifølge CVSS-scoren, men ændring og nedlukning af data kan i sig selv have alvorlige konsekvenser for drift og compliance.
Hvor alvorligt er det?
Sårbarheden har fået den højest mulige CVSS-score på 10 ud af 10 og er klassificeret som kritisk. Det betyder, at den opfylder alle kriterier for maksimal risiko: angrebet kan udføres over internettet, det kræver ingen særlige tekniske evner, ingen forudgående adgang, og det kræver ikke, at en bruger klikker på noget eller foretager sig noget. Kombinationen af høj integritet- og tilgængelighedspåvirkning gør, at konsekvenserne kan mærkes langt ud over selve databasen – potentielt på tværs af hele dit Azure-miljø.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt for at beskytte din virksomhed:
- Undersøg om du bruger Azure HorizonDB – spørg din it-ansvarlige eller leverandør, om HorizonDB indgår i jeres Azure-opsætning.
- Tjek efter opdateringer fra Microsoft – log ind på Azure Portal og Microsoft Security Response Center (MSRC) for at finde eventuelle sikkerhedsopdateringer eller anbefalinger til HorizonDB.
- Begræns netværksadgang midlertidigt – hvis en patch endnu ikke er tilgængelig, kan du afskære offentlig adgang til HorizonDB ved hjælp af Azure Firewallregler eller netværkssikkerhedsgrupper (NSG’er), så kun kendte IP-adresser kan kommunikere med databasen.
- Gennemgå adgangslogge – tjek Azure Monitor og dine logfiler for usædvanlig aktivitet eller ukendte brugere, der har forsøgt at tilgå databasen.
- Kontakt din it-partner eller Auroa – hvis du er usikker på din eksponering eller behøver hjælp til at implementere midlertidige beskyttelsesforanstaltninger.
Handl inden for 24-48 timer
Med en CVSS-score på 10 bør du behandle denne sårbarhed som en akut hændelse. Auroa anbefaler, at du straks kortlægger, om Azure HorizonDB indgår i din infrastruktur, og implementerer netværksbaserede begrænsninger som en midlertidig beskyttelse, indtil Microsoft udgiver en officiel patch. Hold øje med Microsoft Security Response Center for opdateringer, og sørg for, at din it-ansvarlige er orienteret. Jo hurtigere du handler, jo mindre er risikoen for, at en angriber når at udnytte hullet.
Tidslinje
Konkrete eksempler
Angriber overtager databasen udefra
En angriber scanner internettet for Azure HorizonDB-instanser med offentlig netværkseksponering. Ved at sende forfalsket netværkstrafik, der efterligner en legitim administrator, narre angriberen systemet til at tildele ham forhøjede rettigheder. Herefter kan han ændre eller slette kritiske forretningsdata – eksempelvis ordrehistorik eller kundeoplysninger – uden at kende et eneste brugernavn eller kodeord.
Ransomware-forberedelse via rettighedseskalering
En cyberkriminel gruppe udnytter sårbarheden til at eskalere deres rettigheder i Azure-miljøet. Med de forhøjede rettigheder krypterer de virksomhedens database og kræver løsepenge for at gendanne adgangen. Fordi angrebet sker direkte i skyen, er lokale sikkerhedskopier på kontoret ikke nødvendigvis nok til at redde situationen, hvis cloudbackuppen også er kompromitteret.
Sabotage af en konkurrents forretningssystem
En målrettet aktør identificerer, at en specifik virksomhed anvender Azure HorizonDB som backend for sit ordresystem. Via spoofing-angrebet opnår aktøren skriveadgang og begynder systematisk at ændre priser og lagerantal i databasen. Virksomheden opdager det ikke med det samme, og i mellemtiden sendes forkerte ordrer ud, hvilket skader både økonomi og kundernes tillid.
Ofte stillede spørgsmål
Hvad er Azure HorizonDB?
Azure HorizonDB er en databasetjeneste i Microsofts cloud-platform Azure. Den bruges til at gemme og håndtere data for applikationer og forretningssystemer. Mange virksomheder bruger den som en del af deres digitale infrastruktur, uden nødvendigvis at vide, at den er en separat komponent i deres Azure-miljø.
Kan en angriber udnytte dette uden at kende vores adgangskoder?
Ja, det er præcis det, der gør denne sårbarhed særligt alvorlig. Ved at forfalske sin identitet over netværket kan en angriber narre systemet til at tro, at vedkommende er en autoriseret bruger – helt uden brug af brugernavn eller adgangskode. Det kaldes authentication bypass (omgåelse af adgangskontrol).
Er vores data blevet stjålet, hvis vi er ramt?
Ifølge CVE-beskrivelsen er fortrolighed (dvs. tyveri af data) ikke direkte i fokus for denne sårbarhed – det primære er, at angriberen kan ændre eller slette data og forstyrre adgangen til dem. Det udelukker dog ikke, at en angriber med forhøjede rettigheder efterfølgende kan tilgå følsomme oplysninger. Gennemgå dine logfiler og kontakt en sikkerhedsekspert, hvis du mistænker et angreb.
Gælder dette alle Azure-kunder?
Nej, kun virksomheder, der specifikt bruger Microsoft Azure HorizonDB, er direkte berørt. Bruger din virksomhed andre Azure-databasetjenester som Azure SQL Database eller Cosmos DB, er du ikke direkte ramt af denne specifikke sårbarhed. Er du i tvivl om, hvilke tjenester I bruger, så spørg din it-leverandør.
Er der en patch tilgængelig?
På tidspunktet for offentliggørelsen af denne sårbarhed (4. juni 2026) er der ikke bekræftet en officiel patch fra Microsoft. Følg løbende med på Microsoft Security Response Center (MSRC) på msrc.microsoft.com, hvor Microsoft publicerer opdateringer og vejledning. Implementér i mellemtiden netværksbaserede adgangsbegrænsninger som en midlertidig foranstaltning.
Hvad koster det os, hvis vi ikke handler?
Konsekvenserne kan spænde fra driftsstop og datatab til bøder for manglende databeskyttelse under GDPR, hvis personoplysninger kompromitteres. Derudover kan tab af tillid fra kunder og samarbejdspartnere have langsigtede forretningsmæssige følger. At handle proaktivt er langt billigere end at rydde op efter et angreb.
Ramte produkter
Microsoft — Azure Horizondb
–
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Authentication bypass by spoofing in Azure HorizonDB allows an unauthorized attacker to elevate privileges over a network.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
