CVE-2026-47647: Kritisk sårbarhed i Microsoft Dynamics 365
Kritisk sikkerhedshul i Microsoft Dynamics 365 lader angribere overtage systemet via netværket uden tekniske forhindringer.
Hvad er det?
En kritisk sårbarhed i Microsoft Dynamics 365 gør det muligt for en angriber, der allerede har en almindelig brugerkonto i systemet, at give sig selv langt højere rettigheder (det vi kalder ‘privilege escalation’). Det betyder, at en angriber kan gå fra at være en normal medarbejder til at have fuld kontrol over systemet — uden at skulle sidde fysisk ved en computer. Angrebet foregår over internettet og kræver ingen hjælp fra andre brugere. Fejlen skyldes mangelfuld adgangskontrol (CWE-284), hvilket vil sige, at systemet ikke tjekker grundigt nok, hvad en bruger har lov til at gøre.
Hvem rammer det?
Sårbarheden rammer alle virksomheder, der bruger Microsoft Dynamics 365 — uanset om det er til salg, økonomi, kundeservice eller drift. Det gælder både cloud-versionen og lokalt installerede versioner. Hvis du har medarbejdere, kunder eller partnere med login til dit Dynamics 365-miljø, er du potentielt i farezonen. Særligt udsatte er virksomheder, hvor mange brugere har adgang til systemet, eller hvor Dynamics 365 er koblet til andre forretningskritiske systemer.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan konsekvenserne være alvorlige:
- Fuld systemkontrol: Angriberen kan få administratorrettigheder og dermed styre hele Dynamics 365-miljøet.
- Datatyveri: Adgang til fortrolige kundedata, finansielle oplysninger og forretningshemmeligheder.
- Datamanipulation: Angriberen kan ændre eller slette ordrer, fakturaer og kundeposter.
- Spredning til andre systemer: Dynamics 365 er ofte koblet til Microsoft 365, Azure og andre interne systemer, som angriberen kan nå videre til.
- Driftsforstyrrelse: Systemet kan gøres utilgængeligt, hvilket kan stoppe salg og kundeservice.
Hvor alvorligt er det?
Denne sårbarhed scorer 9,9 ud af 10 på den internationale CVSS-skala og er klassificeret som kritisk. Det er næsten det højest mulige. Tre faktorer gør den særligt farlig:
- Lav barriere: Det kræver kun en almindelig brugerkonto — ikke administratoradgang — at starte angrebet.
- Ingen brugerinteraktion: Ingen medarbejder behøver klikke på noget eller godkende noget for at angrebet lykkes.
- Bredt skadeomfang: Alle tre sikkerhedsprincipper — fortrolighed, integritet og tilgængelighed — er i høj risiko.
Kombinationen af lavt teknisk krav og højt skadepotentiale gør dette til en sårbarhed, der bør håndteres straks.
Hvad gør jeg nu?
Følg disse trin så hurtigt som muligt:
- Tjek din version: Find ud af om du bruger Microsoft Dynamics 365 i cloud (Microsoft-hosted) eller som lokal installation. Kontakt din IT-ansvarlige eller leverandør hvis du er i tvivl.
- Installer opdateringer straks: Tjek Microsoft Security Update Guide for CVE-2026-47647 og anvend de udgivne sikkerhedsopdateringer uden forsinkelse.
- Gennemgå brugerkonti: Identificér alle konti med adgang til Dynamics 365 og deaktivér konti, der ikke længere er i brug.
- Begræns adgang midlertidigt: Overvej at indskrænke adgangen til Dynamics 365 fra eksterne netværk, indtil opdateringen er installeret.
- Aktivér logning og overvågning: Sørg for at have logning slået til, så du kan opdage unormal adfærd i systemet.
- Orienter ledelsen: Sørg for at relevante beslutningstagere er informeret om risikoen og de tiltag, der er sat i gang.
Handl inden for 24-48 timer
Vi anbefaler, at du behandler denne sårbarhed som en akut hændelse og prioriterer opdatering af Dynamics 365 over alle andre IT-opgaver denne uge. Med en CVSS-score på 9,9 og en lav angrebsbarriere er risikoen for aktivt misbrug høj. Hvis du ikke selv har ressourcer til at håndtere dette, så kontakt din IT-leverandør eller os hos Auroa — vi kan hjælpe med at vurdere din eksponering og sikre, at opdateringen sker korrekt og hurtigt.
Tidslinje
Konkrete eksempler
Den utilfredse tidligere medarbejder
En virksomhed glemmer at deaktivere en tidligere sælgers brugerkonto i Dynamics 365 efter fratrædelse. Den tidligere medarbejder logger ind med sine gamle oplysninger og udnytter sårbarheden til at give sig selv administratorrettigheder. Herefter eksporterer han hele kundedatabasen og deler den med en konkurrent — eller kræver løsepenge for ikke at offentliggøre data.
Kompromitteret leverandørkonto
En ekstern IT-leverandør med begrænset adgang til virksomhedens Dynamics 365-miljø bliver hacket. Angriberen overtager leverandørens konto og bruger den til at eskalere sine rettigheder via CVE-2026-47647. Derfra tilgår angriberen alle finansielle transaktioner og ændrer betalingsoplysninger på leverandørfakturaer, så betalinger ledes til en konto under angriberens kontrol — et såkaldt BEC-angreb (Business Email Compromise).
Intern trussel via phishing
En medarbejder i bogholderiet modtager en phishing-mail og afgiver ubevidst sine Dynamics 365-loginoplysninger. Angriberen logger ind som medarbejderen og udnytter sårbarheden til at opnå fuld systemadgang. Angriberen installerer derefter et bagdørsprogram, der giver vedvarende adgang selv efter adgangskoden er skiftet, og kan i måneder fremover tilgå og manipulere virksomhedens økonomidata.
Ofte stillede spørgsmål
Skal jeg bekymre mig, hvis vi bruger Dynamics 365 i skyen hos Microsoft?
Ja, selv cloud-versionen kan være berørt. Microsoft udsender typisk automatiske opdateringer til cloud-tjenester, men du bør verificere med din IT-ansvarlige eller direkte i Microsoft 365 Admin Center, at opdateringen er anvendt i dit miljø. Stol ikke blindt på, at det er sket automatisk.
Hvad er 'privilege escalation', og hvorfor er det farligt?
Privilege escalation betyder, at en bruger med begrænsede rettigheder skaffer sig selv flere rettigheder end tilladt — typisk op til administratorniveau. Det er farligt, fordi en angriber, der starter som en helt normal medarbejder eller ekstern bruger, pludselig kan styre hele systemet, se alle data og ændre hvad som helst.
Vi har ikke mærket noget usædvanligt — er vi så sikre?
Ikke nødvendigvis. Mange angreb foregår i det skjulte, og det kan tage uger eller måneder, før en virksomhed opdager, at nogen har haft uautoriseret adgang. Manglen på synlige symptomer er desværre ikke en garanti for, at intet er sket. Det er netop derfor, logning og overvågning er vigtigt.
Er det kun medarbejdere, der kan udnytte sårbarheden?
Nej. Enhver med en gyldig brugerkonto kan potentielt udnytte fejlen — det inkluderer eksterne konsulenter, leverandører, tidligere medarbejdere med aktive konti og i værste fald angribere, der har stjålet en medarbejders login. Det er derfor vigtigt at gennemgå og rydde op i brugerkontolisten.
Hvad hvis vi ikke kan opdatere med det samme på grund af forretningskritiske processer?
Hvis øjeblikkelig opdatering ikke er mulig, bør du som minimum begrænse adgangen til Dynamics 365 fra eksterne netværk og aktivere skærpet overvågning. Sørg desuden for, at alle brugere har stærke, unikke adgangskoder og helst to-faktor-godkendelse (en ekstra bekræftelse ud over kodeord). Planlæg en hurtig opdateringsplan og sæt en konkret deadline.
Skal vi anmelde det til Datatilsynet, hvis vi er blevet ramt?
Hvis I har mistanke om, at persondata er kompromitteret som følge af et angreb, har I som udgangspunkt 72 timer til at anmelde bruddet til Datatilsynet i henhold til GDPR. Kontakt en juridisk rådgiver eller os for at få vurderet om og hvornår en anmeldelse er nødvendig.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Improper access control in Microsoft Dynamics 365 allows an authorized attacker to elevate privileges over a network.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
