El 10 de febrer de 2026, dins del seu cicle de butlletins de seguretat, Microsoft va fer pública una vulnerabilitat crítica d’elevació de privilegis a Azure Front Door, identificada com a CVE-2026-24300. Li van assignar una puntuació CVSS de 9.8 sobre 10, gairebé el màxim, fet que el situa entre els problemes de seguretat més greus reportats aquell mes.
Què és Azure Front Door i en què consisteix l’error
Azure Front Door és el servei de Microsoft que fa de punt d’entrada global per a aplicacions web. Combina balanceig de càrrega, xarxa de lliurament de continguts (CDN), terminació TLS i un tallafoc d’aplicacions web (WAF). Moltes organitzacions el col·loquen com a primera línia de defensa i encaminament davant dels seus servidors de backend.
L’error entra dins la categoria de control d’accés indegut (CWE-284). A la pràctica, el servei no comprovava bé els permisos associats a certes operacions, així que un atacant podia tocar recursos que no li tocaven. D’aquí l’elevació de privilegis: la possibilitat de fer-se amb un nivell de control per sobre del que tenia autoritzat.
A qui afecta i per què és tan greu
El que dispara la severitat de CVE-2026-24300 és el seu vector d’atac. Segons l’anàlisi del CVSS:
- Vector de xarxa: explotable de manera remota, sense necessitat d’accés físic ni local.
- Sense autenticació: l’atacant no necessita credencials vàlides.
- Sense interacció de l’usuari: no cal enganyar ningú perquè faci clic en res.
- Baixa complexitat: no requereix condicions especials difícils de complir.
Aquesta combinació (remot, no autenticat, sense interacció) és la que defineix un error crític de 9.8. Segons la informació publicada, un atacant podria arribar a manipular la configuració d’Azure Front Door d’altres clients, accedir a recursos de backend protegits o alterar regles d’encaminament. En el pitjor dels casos, això permetria eludir el WAF que en teoria protegeix aquests serveis.
L’impacte pesa perquè Front Door és un servei compartit i multiinquilí. Si falla l’aïllament entre clients, l’abast pot ser enorme.
Mitigació i pegat
Azure Front Door és un servei gestionat al núvol de Microsoft. Quan la vulnerabilitat és a la mateixa plataforma, la correcció s’aplica del costat del proveïdor, dins de la infraestructura d’Azure, i els clients no han d’instal·lar pegats ni reconfigurar res. Microsoft va publicar l’entrada corresponent al seu Security Update Guide per documentar el problema i la seva resolució.
Tot i així, si gestiones plataformes val la pena revisar l’avís oficial de Microsoft per si en el teu cas concret cal alguna acció. I com a bona pràctica general, audita les configuracions de Front Door, les regles del WAF i els permisos d’accés als recursos de backend. Mantenir registres d’activitat i revisar accessos estranys sempre va bé després de conèixer-se un error de control d’accés d’aquest tipus.
Azure Front Door és un servei propietari de Microsoft, però qui serveix càrregues de treball Linux al seu darrere convé que no oblidi una cosa: la seguretat perimetral al núvol no substitueix l’enduriment del mateix sistema operatiu.
Font
- MSRC - Microsoft Security Update Guide: CVE-2026-24300
- NVD - National Vulnerability Database: CVE-2026-24300