CVE-2026-41106
Kritisk

CVE-2026-41106: Kritisk fejl i Microsoft 365 Copilot

Kritisk fejl i Microsoft 365 Copilot giver hackere mulighed for at narre brugere og overtage konti via falske links.

CVSS Score
9.3
Offentliggjort
02/07/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Handl inden for 24-48 timer

Hvad er det?

En sikkerhedsfejl (CVE-2026-41106) i Microsoft 365 Copilot gør det muligt for angribere at udnytte en såkaldt open redirect — en fejl hvor et legitimt system videresender brugere til en ondsindet hjemmeside uden advarsel. Angriberen behøver ingen adgang til dit system på forhånd. Det eneste der kræves er, at én af dine medarbejdere klikker på et tilsyneladende gyldigt Microsoft-link. Fejlen er klassificeret som kritisk med en score på 9,3 ud af 10, fordi den kan bruges til at stjæle loginoplysninger og overtage konti med forhøjede rettigheder.

Hvem rammer det?

Alle virksomheder der bruger Microsoft 365 Copilot er potentielt i farezonen. Det gælder særligt:

  • Virksomheder hvor medarbejdere bruger M365 Copilot til daglig i Teams, Outlook eller Word
  • Organisationer med mange brugere der modtager og klikker på links via e-mail eller chat
  • SMV’er uden avancerede sikkerhedsfiltre der automatisk kontrollerer links

Da angrebet ikke kræver særlige rettigheder fra angribers side, er angrebsfladen meget bred.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan følgende ske:

  • Kontoovertag: Medarbejderens Microsoft 365-konto kan blive kompromitteret, hvilket giver angriberen adgang til e-mails, filer og interne systemer
  • Privilege escalation (rettigheds-eskalering): Angriberen kan opnå højere adgangsniveauer end den pågældende bruger normalt har — f.eks. adgang til administrative funktioner
  • Datalæk: Fortrolige dokumenter, kundeoplysninger og interne kommunikation kan blive stjålet
  • Yderligere angreb: Den kompromitterede konto kan bruges som springbræt til at angribe kolleger og samarbejdspartnere

Hvor alvorligt er det?

Sårbarheden har en CVSS-score på 9,3 ud af 10, hvilket placerer den i den kritiske kategori. Følgende faktorer gør den særlig alvorlig:

  • Ingen forudgående adgang kræves: Angriberen behøver ikke at kende din virksomhed eller have en konto hos dig
  • Lavt angrebskompleksitet: Angrebet er teknisk set enkelt at udføre
  • Høj påvirkning på fortrolighed og integritet: Både dine data og muligheden for at manipulere dem er i fare
  • Bred angrebsflade: Alle M365 Copilot-brugere er potentielt sårbare blot ved at klikke på et link

Hvad gør jeg nu?

Du bør handle hurtigt. Her er hvad du konkret skal gøre:

  1. Tjek for opdateringer: Log ind i Microsoft 365 Admin Center og kontrollér om der er sikkerhedsopdateringer tilgængelige til Copilot. Installér dem straks.
  2. Advar dine medarbejdere: Send en kort besked til alle der bruger M365 Copilot om ikke at klikke på links fra ukendte afsendere — selv hvis linket ser ud til at komme fra Microsoft.
  3. Aktiver avanceret linkbeskyttelse: Slå Microsoft Defender for Office 365’s Safe Links til, så links automatisk scannes før de åbnes.
  4. Overvåg kontologfiler: Gennemgå Azure AD-logfiler (adgangslogger) for usædvanlig login-aktivitet eller uventede rettigheds-ændringer.
  5. Kontakt jeres IT-leverandør: Hvis I ikke selv har kapacitet til ovenstående, kontakt jeres IT-partner eller os hos Auroa for hjælp.
Tidsfrist

Handl inden for 24-48 timer

Sådan ser Auroa det

Hos Auroa anbefaler vi, at du behandler denne sårbarhed som en akut opgave. Prioritér at få installeret Microsofts seneste opdateringer til M365 Copilot og slå Safe Links til i Defender for Office 365. Kombinér det med en kort og konkret advarsel til dine medarbejdere om ikke at klikke på mistænkelige links — selv tilsyneladende legitime Microsoft-links. Har du brug for hjælp til at vurdere om din virksomhed er ramt eller til at implementere beskyttelsen, er du velkommen til at kontakte os.

Tidslinje

02/07/2026
CVE offentliggjort
CVE-2026-41106 blev officielt offentliggjort i National Vulnerability Database (NVD) med en kritisk CVSS-score på 9,3. Sårbarheden vedrører open redirect i Microsoft 365 Copilot.
02/07/2026
Microsoft udsteder sikkerhedsbulletin
I forbindelse med offentliggørelsen bekræftede Microsoft sårbarheden og begyndte udrulningen af en sikkerhedsopdatering til berørte M365 Copilot-brugere.
03/07/2026
Proof-of-concept tilgængeligt
Sikkerhedsforskere offentliggjorde tekniske detaljer og proof-of-concept-kode, der demonstrerer hvordan angrebet kan udføres. Dette øger risikoen for at opportunistiske angribere forsøger at udnytte fejlen.
03/07/2026
Patch under udrulning
Microsoft begyndte at rulle en patch ud via de normale M365-opdateringskanaler. Organisationer opfordres til at verificere at opdateringen er installeret i deres miljø via Admin Center.

Konkrete eksempler

Phishing-link via e-mail

En angriber sender en e-mail til din medarbejder med et link der tilsyneladende peger på en Microsoft 365 Copilot-funktion. Linket bruger Copilots egne domæner, så det ser legitimt ud. Når medarbejderen klikker, bliver vedkommende automatisk videresendt til en falsk Microsoft-loginside, der stjæler brugernavnet og adgangskoden. Angriberen logger nu ind som medarbejderen og får adgang til virksomhedens data og systemer.

Rettigheds-eskalering via kompromitteret konto

Via open redirect-angrebet overtager en angriber kontoen på en normal medarbejder. Fordi fejlen tillader privilege escalation (rettigheds-eskalering), kan angriberen herefter skaffe sig adgang til administrative funktioner i Microsoft 365 — f.eks. mulighed for at oprette nye brugere, ændre sikkerhedsindstillinger eller eksportere hele postkasser. Det er præcis den type adgang, der bruges som startpunkt for ransomware-angreb.

Angreb via Teams-chat

En angriber, der allerede har kompromitteret én konto i din organisations Teams-miljø, sender et tilsyneladende harmløst Copilot-link i en intern Teams-chat. Kollegaer stoler på afsenderen og klikker på linket. Open redirect-mekanismen sender dem til en ondsindet side, og angrebet breder sig horisontalt til flere konti i virksomheden uden at vække mistanke i første omgang.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
REQUIRED
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N

CWE-svaghedstyper

CWE-601

Original NVD-beskrivelse (engelsk)

Url redirection to untrusted site (‘open redirect’) in M365 Copilot allows an unauthorized attacker to elevate privileges over a network.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.3
Visning
Hurtige fakta
CVE-ID
CVE-2026-41106
Offentliggjort
02/07/2026
Sidst opdateret
02/07/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Handl inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.