CVE-2026-54130: Kritisk fejl i Microsoft 365 Copilot
Kritisk sikkerhedshul i Microsoft 365 Copilot lader angribere tilgå følsomme data uden login – opdater straks.
Hvad er det?
CVE-2026-54130 er en kritisk sårbarhed i Microsoft 365 Copilot. Fejlen betyder, at en vigtig funktion i systemet slet ikke kræver login (autentificering) for at blive tilgået. Det betyder, at en angriber udefra – uden brugernavn, adgangskode eller anden form for adgang – kan hente følsomme oplysninger direkte over internettet. Fejlen er klassificeret som CWE-306, som dækker over manglende adgangskontrol på kritiske funktioner. Med en CVSS-score på 9,8 ud af 10 er dette én af de mest alvorlige typer sikkerhedsfejl, der findes.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Microsoft 365 Copilot – Microsofts AI-assistent integreret i Microsoft 365-platformen (Word, Outlook, Teams m.fl.). Bruger din virksomhed Microsoft 365 Copilot, bør du betragte dig som potentielt berørt, indtil du har fået bekræftet, at en patch (rettelse) er installeret eller en midlertidig løsning er på plads.
Hvad kan ske?
En angriber kan uden nogen form for login tilgå din virksomheds data via Copilot-funktionen over internettet. Det kan betyde:
- Læk af fortrolige dokumenter, e-mails eller interne data som Copilot har adgang til
- Eksponering af personoplysninger om kunder, medarbejdere eller samarbejdspartnere
- Risiko for brud på GDPR (databeskyttelsesreglerne), som kan medføre bøder og krav om underretning
- Tab af forretningshemmeligheder eller strategiske oplysninger
Hvor alvorligt er det?
Denne sårbarhed scorer 9,8 ud af 10 på den internationale CVSS-skala og er kategoriseret som kritisk. Det er den højeste alvorlighedskategori. Angrebet kræver ingen forudgående adgang, ingen interaktion fra dine medarbejdere og kan udføres direkte fra internettet. Det gør den særligt farlig for virksomheder med Copilot aktiveret, da konsekvenserne for fortrolighed, dataintegritet og tilgængelighed alle vurderes som høje.
Hvad gør jeg nu?
Følg disse trin så hurtigt som muligt – helst inden for 24-48 timer:
- Tjek om I bruger Microsoft 365 Copilot: Spørg din IT-ansvarlige eller Microsoft-partner, om Copilot er aktiveret i jeres Microsoft 365-miljø.
- Installer tilgængelige opdateringer: Gå til Microsoft 365 Admin Center og kontrollér, om der er udgivet en sikkerhedsopdatering til Copilot. Installer den straks.
- Begræns adgang midlertidigt: Overvej at deaktivere eller begrænse adgangen til Copilot-funktioner, indtil en patch er bekræftet installeret.
- Gennemgå adgangslogge: Bed din IT-ansvarlige om at gennemgå logfiler for usædvanlig aktivitet i Copilot de seneste uger.
- Vurdér GDPR-forpligtelse: Hvis I opdager, at data kan være blevet tilgået uretmæssigt, skal I vurdere, om det er et brud der skal anmeldes til Datatilsynet inden for 72 timer.
- Kontakt support: Kontakt Microsoft Support eller din IT-leverandør for bekræftelse af, at I er beskyttet.
Handl inden for 24-48 timer
Auroa anbefaler, at du behandler denne sårbarhed som en akut hændelse og sætter din IT-ansvarlige eller -partner på opgaven i dag. Sårbarheden er ekstrem nem at udnytte – den kræver hverken teknisk snilde eller forudgående adgang – og Microsoft 365 Copilot har typisk adgang til store mængder følsomme virksomhedsdata. Venter du med at handle, risikerer du et databrud med både GDPR-konsekvenser og omdømmeskade. Kontakt os, hvis du har brug for hjælp til at vurdere jeres eksponering eller håndtere en potentiel hændelse.
Tidslinje
Konkrete eksempler
Angriber henter interne dokumenter uden login
En angriber opdager, at din virksomheds Microsoft 365 Copilot-endpoint er eksponeret på internettet. Ved at sende særligt udformede forespørgsler direkte til Copilots API (et programmeringsgrænsefladeadgangspunkt) – uden brugernavn eller adgangskode – kan angriberen få Copilot til at søge i og returnere indhold fra interne dokumenter, e-mails og Teams-beskeder. Resultatet er, at fortrolige kontrakter, strategiplaner eller HR-dokumenter kan havne i forkerte hænder.
Konkurrent eller spion udtrækker forretningshemmeligheder
En konkurrent eller industrispion bruger det offentliggjorte proof-of-concept-angreb til at forespørge Copilot om specifikke emner – fx prislister, kundeoplysninger eller produktudviklingsplaner. Fordi Copilot har adgang til store dele af virksomhedens data, og adgangsstyringen er brudt, kan disse oplysninger udtrækkes systematisk uden at efterlade synlige spor i traditionelle adgangssystemer.
GDPR-brud via læk af personoplysninger
En angriber udnytter sårbarheden til at få Copilot til at opsummere e-mails og dokumenter indeholdende personoplysninger om kunder eller medarbejdere – fx CPR-numre, helbredsoplysninger eller kontraktvilkår. Virksomheden opdager først bruddet uger senere via en ekstern kilde, og er nu forpligtet til at anmelde det til Datatilsynet med risiko for bøde og omdømmeskade.
Ofte stillede spørgsmål
Hvad er Microsoft 365 Copilot?
Microsoft 365 Copilot er en AI-assistent fra Microsoft, der er integreret i programmer som Word, Outlook, Teams og Excel. Den hjælper brugere med at skrive tekster, opsummere møder og søge i virksomhedens data. Fordi den har adgang til mange interne oplysninger, er den et attraktivt mål for angribere.
Skal man være logget ind på vores system for at udnytte sårbarheden?
Nej – det er præcis det, der gør denne sårbarhed så alvorlig. En angriber behøver hverken brugernavn, adgangskode eller anden form for adgang til jeres systemer. Angrebet kan udføres direkte over internettet af hvem som helst.
Hvordan ved jeg, om nogen allerede har udnyttet hullet hos os?
Du kan bede din IT-ansvarlige om at gennemgå adgangslogge og auditlogs i Microsoft 365 Admin Center og Microsoft Purview for usædvanlig aktivitet. Se efter ukendte IP-adresser, usædvanlige forespørgsler til Copilot eller adgang til data på mærkelige tidspunkter. Har I ikke kapacitet til dette internt, kan Auroa hjælpe med en hændelsesgennemgang.
Er vi forpligtede til at anmelde dette til Datatilsynet?
Kun hvis I kan dokumentere eller har mistanke om, at personoplysninger faktisk er blevet tilgået eller lækket som følge af sårbarheden. I så fald skal bruddet anmeldes til Datatilsynet inden for 72 timer efter, I er blevet opmærksomme på det – dette er et krav under GDPR. Er I usikre, bør I konsultere en juridisk rådgiver eller kontakte os.
Hvad hvis vi ikke bruger Copilot aktivt – er vi stadig i fare?
Ja, potentielt. Copilot kan være licenseret og aktiveret i baggrunden, selv om ingen medarbejdere bruger det dagligt. Tjek i Microsoft 365 Admin Center under ‘Licenser’ og ‘Apps’, om Copilot er slået til for jeres organisation.
Hvad koster det ikke at handle?
Risikoen inkluderer læk af fortrolige forretningsdata, eksponering af kunders og medarbejderes personoplysninger, GDPR-bøder på op til 4 % af den globale årsomsætning samt skade på virksomhedens omdømme. At handle hurtigt er langt billigere end konsekvenserne af et databrud.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Missing authentication for critical function in M365 Copilot allows an unauthorized attacker to disclose information over a network.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
