CVE-2026-57100: Kritisk fejl i Microsoft Entra
Kritisk fejl i Microsoft Entra lader angribere overtage systemer via netværket – opdater straks.
Hvad er det?
CVE-2026-57100 er en kritisk sikkerhedsfejl i Microsoft Entra Provisioning Service (også kaldet SyncFabric), som er den del af Microsoft Entra der automatisk synkroniserer brugerkonti og adgange på tværs af systemer.
Fejlen kaldes SSRF – Server-Side Request Forgery – hvilket betyder, at en angriber kan narre serveren til at sende forespørgsler på vegne af angriberen til interne systemer, som normalt ikke er tilgængelige udefra. På den måde kan angriberen eskalere sine rettigheder (få adgang til mere, end de burde) og potentielt overtage kritiske dele af din it-infrastruktur.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer der bruger Microsoft Entra (tidligere Azure Active Directory) med Provisioning Service aktiveret. Det gælder særligt hvis du:
- Bruger Microsoft 365, Azure eller andre Microsoft-skytjenester med automatisk brugeroprettelse/-synkronisering
- Har integreret Microsoft Entra med HR-systemer, SaaS-applikationer eller andre tjenester via provisioning
- Tillader medarbejdere eller partnere at logge ind med Entra-konti
En angriber behøver kun en almindelig brugerkonto i dit system for at udnytte fejlen – det kræver ikke administrator-rettigheder på forhånd.
Hvad kan ske?
Hvis fejlen udnyttes, kan en angriber med blot en simpel brugerkonto:
- Eskalere sine rettigheder – få administrator- eller systemadgang uden tilladelse
- Tilgå fortrolige data – læse følsomme oplysninger om medarbejdere, kunder og forretningskritiske systemer
- Ændre eller slette data – manipulere brugerkonti, adgange og konfigurationer
- Lamme systemer – forstyrre adgangen til Microsoft-baserede tjenester og forretningsprocesser
- Bevæge sig videre ind i netværket – bruge den opnåede adgang som springbræt til andre systemer
CVSS-scoren er 9.9 ud af 10, hvilket er ekstremt alvorligt. Angrebet kan udføres over internettet uden fysisk adgang og uden avancerede tekniske færdigheder.
Hvor alvorligt er det?
Denne sårbarhed er klassificeret som Kritisk med en CVSS-score på 9.9 ud af 10 – det er næsten det højeste mulige. Det skyldes kombinationen af:
- Netværksangreb: Kan udnyttes helt udefra via internettet
- Lav kompleksitet: Kræver ikke avanceret viden eller særlige forberedelser
- Lave krav til angriberen: En helt almindelig brugerkonto er nok
- Ingen brugerinteraktion: Offeret skal ikke klikke på noget eller gøre noget forkert
- Fuld CIA-impact: Fortrolighed, integritet og tilgængelighed er alle i høj risiko
Kort sagt: En angriber med adgang til blot én brugerkonto kan potentielt overtage hele din Microsoft Entra-infrastruktur.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt – helst inden for 24-48 timer:
- Tjek Microsoft Security Update Guide: Gå til msrc.microsoft.com og søg på CVE-2026-57100 for at finde den seneste patch og vejledning fra Microsoft.
- Installér tilgængelige opdateringer: Anvend alle sikkerhedsopdateringer relateret til Microsoft Entra Provisioning Service øjeblikkeligt.
- Gennemgå adgange: Kontrollér hvem der har konti i jeres Microsoft Entra-miljø – fjern ubrugte eller ukendte konti straks.
- Aktiver logning og overvågning: Sørg for at have logning aktiveret i Microsoft Entra og Microsoft 365 Defender, så du kan opdage mistænkelig aktivitet.
- Begræns provisioning-adgang: Hvis det er muligt, begræns hvilke systemer og tjenester der har adgang til Entra Provisioning Service, indtil patch er installeret.
- Kontakt jeres it-leverandør: Hvis du bruger ekstern it-support, kontakt dem nu og bed dem prioritere opdateringen.
Opdater inden for 24-48 timer
Med en CVSS-score på 9.9 og et angrebsmønster der ikke kræver andet end en simpel brugerkonto, bør denne sårbarhed behandles som en akut hændelse. Vi anbefaler, at du installer Microsofts sikkerhedsopdatering med det samme og efterfølgende gennemgår alle brugerkonti og adgange i dit Entra-miljø. Overvej desuden at aktivere Microsoft Defender for Identity, hvis du ikke allerede bruger det – det giver dig tidlig advarsel hvis nogen forsøger at misbruge privilegier. Har du brug for hjælp til at vurdere din eksponering eller implementere opdateringen, er du velkommen til at kontakte os.
Tidslinje
Konkrete eksempler
Angriber eskalerer fra normal bruger til administrator
En angriber får fat i login-oplysningerne til en almindelig medarbejderkonto – f.eks. via phishing. Med denne konto udnytter angriberen SSRF-fejlen til at sende interne forespørgsler til Entra-infrastrukturen og eskalerer sine rettigheder til administrator-niveau. Herefter kan angriberen oprette nye administratorkonti, ændre adgangspolitikker og låse den rigtige it-afdeling ude af systemerne.
Adgang til fortrolige HR- og kundedata
En virksomhed har integreret sit HR-system med Microsoft Entra via Provisioning Service. En angriber udnytter SSRF-fejlen til at sende forespørgsler til det interne HR-system og trækker følsomme oplysninger ud – herunder løn, CPR-numre og ansættelseskontrakter. Dataene kan bruges til afpresning eller sælges på kriminelle markeder.
Sabotage af brugeradgang og forretningsdrift
En angriber bruger den eskalerede adgang til systematisk at deaktivere eller ændre brugerkonti i Microsoft Entra, så medarbejdere ikke længere kan logge ind på Teams, Outlook og forretningssystemer. Resultatet er et komplet driftstop, der kan koste virksomheden mange timers tabt arbejde og potentielt brud på SLA-aftaler med kunder.
Ofte stillede spørgsmål
Bruger vi Microsoft Entra – ved vi det ikke altid?
Mange virksomheder bruger Microsoft Entra uden at kende det ved det navn. Hvis I bruger Microsoft 365 (Word, Excel, Teams, Outlook i skyen), Azure eller logger ind med en arbejdskonto via Microsoft, bruger I sandsynligvis Microsoft Entra. Spørg jeres it-leverandør hvis I er i tvivl.
Skal vi gøre noget, hvis Microsoft håndterer det automatisk?
Microsoft kan udrulle sikkerhedsopdateringer automatisk til cloud-tjenester, men det er ikke altid tilfældet for alle komponenter. Du bør aktivt bekræfte i Microsoft 365 Admin Center eller Azure Portal, at opdateringen er anvendt. Vent ikke på at det sker af sig selv – tjek det manuelt.
Kan en medarbejder ved en fejl udnytte dette?
Det er usandsynligt at en medarbejder udnytter det utilsigtet – det kræver bevidste, tekniske handlinger. Men en utilfreds medarbejder med en aktiv konto, eller en ekstern angriber der har fået fat i en medarbejders login, kan bruge fejlen med vilje. Derfor er det vigtigt at fjerne ubrugte konti og sikre stærke adgangskoder og multifaktorgodkendelse (MFA).
Hvad er SSRF, og hvorfor er det farligt?
SSRF står for Server-Side Request Forgery. Det betyder at en angriber kan narre serveren til at kontakte interne systemer på vegne af angriberen – systemer der normalt er beskyttet bag firewalls og ikke tilgængelige udefra. Det er farligt fordi angriberen derved kan omgå jeres normale sikkerhedslag og nå ind til kernen af jeres it-infrastruktur.
Er vi i fare hvis vi har MFA (multifaktorgodkendelse) aktiveret?
MFA reducerer risikoen for at en angriber kan stjæle eller gætte sig til en medarbejderkonto, men beskytter ikke mod selve SSRF-sårbarheden. Hvis en angriber allerede har adgang til en konto – selv en med MFA – kan fejlen stadig udnyttes. Opdatering er derfor den eneste rigtige løsning.
Hvordan ved vi om vi er blevet angrebet?
Tegn på et angreb kan inkludere: uventede ændringer i brugerrettigheder, nye administratorkonti I ikke har oprettet, usædvanlig aktivitet i Microsoft Entra-loggen, eller advarslerne fra Microsoft Defender. Gennemgå jeres Entra-auditlog (Sign-in logs og Audit logs i Azure Portal) for aktivitet de seneste dage, og kontakt jeres it-leverandør hvis I ser noget mistænkeligt.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Server-side request forgery (ssrf) in Microsoft Entra Provisioning Service (SyncFabric) allows an authorized attacker to elevate privileges over a network.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
