CVE-2026-45497: Sårbarhed i Microsoft Copilot
Sårbarhed i Microsoft Copilot giver angribere mulighed for at køre skadelig kode via netværket – opdater hurtigst muligt.
Hvad er det?
CVE-2026-45497 er en såkaldt kommandoinjektionssårbarhed (en fejl hvor en angriber kan smugle egne kommandoer ind i et program) i Microsoft Copilot. Fejlen betyder, at en angriber, der allerede har adgang til systemet som en almindelig bruger, kan udnytte en svaghed i den måde Copilot håndterer særlige tegn i kommandoer. Resultatet er, at angriberen kan få programmet til at udføre vilkårlig kode – altså kode som angriberen selv bestemmer – via netværket. Det kræver ikke, at offeret gør noget aktivt, og angrebet kan ramme systemer uden for det direkte angrebspunkt.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger Microsoft Copilot. Har du eller dine medarbejdere aktiveret og bruger Microsoft Copilot i jeres arbejdsflow – eksempelvis integreret i Microsoft 365 – bør du tage dette alvorligt. Selv en bruger med begrænsede rettigheder kan udnytte fejlen, hvilket betyder, at risikoen ikke er begrænset til administratorer eller IT-folk.
Hvad kan ske?
En angriber, der udnytter denne sårbarhed, kan:
- Læse fortrolige data – herunder dokumenter, e-mails og andre oplysninger Copilot har adgang til (høj fortrolighedsrisiko).
- Foretage mindre ændringer i data eller systemindstillinger (lav integritetspåvirkning).
- Forstyrre tilgængeligheden af tjenesten i begrænset omfang (lav tilgængelighedspåvirkning).
- Bevæge sig på tværs af systemer – da sårbarhedens rækkevidde går ud over det direkte angrebspunkt (scopet er ændret), kan konsekvenserne sprede sig til tilknyttede systemer og tjenester.
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.7 ud af 10 (Alvorlig) af det internationale sikkerhedsorgan CVSS. Det er en høj score, der afspejler, at angrebet kan gennemføres over netværket uden brugerinteraktion, og at det kan ramme systemer ud over selve Copilot-produktet. Det eneste, der holder scoren fra at være kritisk, er, at angrebet kræver en vis teknisk kompleksitet og en bruger med eksisterende (om end begrænset) adgang til systemet.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed:
- Tjek om I bruger Microsoft Copilot. Spørg din IT-ansvarlige eller se i jeres Microsoft 365-licenser, om Copilot er aktiveret.
- Installer opdateringer med det samme. Gå til Microsoft Update eller kontakt din IT-leverandør og sørg for, at alle tilgængelige sikkerhedsopdateringer til Microsoft Copilot er installeret.
- Gennemgå brugeradgange. Sørg for, at kun de medarbejdere, der har et reelt behov, har adgang til Copilot. Fjern unødvendige adgange midlertidigt, hvis opdateringen endnu ikke er installeret.
- Overvåg for mistænkelig aktivitet. Bed din IT-ansvarlige om at kigge efter usædvanlig adfærd i logs fra Copilot og relaterede Microsoft 365-tjenester.
- Informér relevante medarbejdere. Gør dem opmærksomme på, at de bør rapportere usædvanlig opførsel i Copilot, indtil opdateringen er på plads.
Opdater inden for 1-2 dage
Hos Auroa anbefaler vi, at du prioriterer at få installeret Microsofts sikkerhedsopdatering til Copilot hurtigst muligt – helst inden for de næste 1-2 arbejdsdage. I mellemtiden bør du overveje at begrænse adgangen til Copilot til kun de mest nødvendige brugere. Sårbarheden kræver ganske vist en vis teknisk formåen fra angriberen, men da den kan udnyttes af en bruger med selv begrænsede rettigheder, og da konsekvenserne kan sprede sig på tværs af systemer, er det ikke noget, du bør vente med.
Tidslinje
Konkrete eksempler
Medarbejder med begrænset adgang udnytter fejlen
En medarbejder – eller en angriber, der har fået adgang til en medarbejderkonto via phishing – logger ind på Microsoft Copilot med en helt almindelig brugerprofil. Ved at sende et særligt udformet input til Copilot, der indeholder skjulte kommandoer, narrer angriberen programmet til at udføre kode på serveren. Angriberen kan herefter læse fortrolige dokumenter og data, som Copilot har adgang til i virksomhedens Microsoft 365-miljø.
Angreb spreder sig til tilknyttede systemer
En angriber udnytter sårbarheden i Copilot og bruger det som springbræt til at nå andre systemer i virksomhedens netværk. Fordi sårbarhedens rækkevidde (scope) er ændret, kan den udførte kode påvirke tjenester uden for selve Copilot – eksempelvis interne databaser eller integrationstjenester koblet til Microsoft 365. Resultatet kan være datalæk eller forstyrrelse af forretningskritiske processer.
Automatiseret angreb via kompromitteret konto
En angriber, der kontrollerer en kompromitteret medarbejderkonto, opsætter et automatiseret script, der gentagne gange sender ondsindede kommandoer til Copilot via netværket. Da angrebet ikke kræver, at offeret interagerer eller klikker på noget, kan det foregå ubemærket i baggrunden, mens medarbejderen er logget ind og arbejder som normalt. Angriberen kan over tid eksfiltrere (stjæle og sende ud af virksomheden) store mængder fortrolige data.
Ofte stillede spørgsmål
Skal vi stoppe med at bruge Microsoft Copilot nu?
Ikke nødvendigvis – men vi anbefaler, at I installerer den tilgængelige sikkerhedsopdatering hurtigst muligt. Hvis det ikke er muligt inden for kort tid, bør I overveje midlertidigt at begrænse eller deaktivere adgangen til Copilot, indtil opdateringen er på plads. Tal med din IT-leverandør om den bedste løsning for jer.
Kan alle medarbejdere udgøre en risiko, eller kræver det særlige rettigheder?
Sårbarheden kan udnyttes af en bruger med begrænsede rettigheder – altså en helt almindelig medarbejderkonto. Det er netop dét, der gør den ekstra bekymrende. Det kræver dog stadig, at brugeren har en form for adgang til Microsoft Copilot, og at angrebet er teknisk komplekst at udføre.
Hvad er kommandoinjektion, og hvorfor er det farligt?
Kommandoinjektion (command injection) er en type angreb, hvor en angriber smugler egne instruktioner ind i et program via et input, som programmet ikke håndterer korrekt. Tænk på det som at snyde en automat til at udføre handlinger, den ikke burde. Det er farligt, fordi det kan give angriberen kontrol over programmet – og i dette tilfælde potentielt adgang til følsomme data og tilknyttede systemer.
Opdaterer Microsoft ikke automatisk Copilot?
Microsoft udsender opdateringer, men det er ikke altid garanteret, at de installeres automatisk i alle miljøer – særligt hvis jeres IT-setup administreres manuelt eller af en ekstern leverandør. Kontakt din IT-ansvarlige og bed dem bekræfte, at den seneste opdatering er installeret og aktiv.
Hvad gør vi, hvis vi ikke ved, om vi bruger Copilot?
Tjek jeres Microsoft 365-licenser eller kontakt jeres IT-leverandør. Copilot vises typisk som en separat licenstype (f.eks. ‘Microsoft 365 Copilot’) i jeres administratorpanel. Hvis I er i tvivl, kan Auroa hjælpe med at kortlægge, hvilke Microsoft-tjenester I anvender.
Ramte produkter
Microsoft — Copilot
–
CVSS-detaljer
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:L/A:L
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Improper neutralization of special elements used in a command (‘command injection’) in Microsoft Copilot allows an authorized attacker to execute code over a network.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
