CVE-2026-41106: Kritisk fejl i Microsoft 365 Copilot
Kritisk fejl i Microsoft 365 Copilot giver hackere mulighed for at narre brugere og overtage konti via falske links.
Hvad er det?
En sikkerhedsfejl (CVE-2026-41106) i Microsoft 365 Copilot gør det muligt for angribere at udnytte en såkaldt open redirect — en fejl hvor et legitimt system videresender brugere til en ondsindet hjemmeside uden advarsel. Angriberen behøver ingen adgang til dit system på forhånd. Det eneste der kræves er, at én af dine medarbejdere klikker på et tilsyneladende gyldigt Microsoft-link. Fejlen er klassificeret som kritisk med en score på 9,3 ud af 10, fordi den kan bruges til at stjæle loginoplysninger og overtage konti med forhøjede rettigheder.
Hvem rammer det?
Alle virksomheder der bruger Microsoft 365 Copilot er potentielt i farezonen. Det gælder særligt:
- Virksomheder hvor medarbejdere bruger M365 Copilot til daglig i Teams, Outlook eller Word
- Organisationer med mange brugere der modtager og klikker på links via e-mail eller chat
- SMV’er uden avancerede sikkerhedsfiltre der automatisk kontrollerer links
Da angrebet ikke kræver særlige rettigheder fra angribers side, er angrebsfladen meget bred.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan følgende ske:
- Kontoovertag: Medarbejderens Microsoft 365-konto kan blive kompromitteret, hvilket giver angriberen adgang til e-mails, filer og interne systemer
- Privilege escalation (rettigheds-eskalering): Angriberen kan opnå højere adgangsniveauer end den pågældende bruger normalt har — f.eks. adgang til administrative funktioner
- Datalæk: Fortrolige dokumenter, kundeoplysninger og interne kommunikation kan blive stjålet
- Yderligere angreb: Den kompromitterede konto kan bruges som springbræt til at angribe kolleger og samarbejdspartnere
Hvor alvorligt er det?
Sårbarheden har en CVSS-score på 9,3 ud af 10, hvilket placerer den i den kritiske kategori. Følgende faktorer gør den særlig alvorlig:
- Ingen forudgående adgang kræves: Angriberen behøver ikke at kende din virksomhed eller have en konto hos dig
- Lavt angrebskompleksitet: Angrebet er teknisk set enkelt at udføre
- Høj påvirkning på fortrolighed og integritet: Både dine data og muligheden for at manipulere dem er i fare
- Bred angrebsflade: Alle M365 Copilot-brugere er potentielt sårbare blot ved at klikke på et link
Hvad gør jeg nu?
Du bør handle hurtigt. Her er hvad du konkret skal gøre:
- Tjek for opdateringer: Log ind i Microsoft 365 Admin Center og kontrollér om der er sikkerhedsopdateringer tilgængelige til Copilot. Installér dem straks.
- Advar dine medarbejdere: Send en kort besked til alle der bruger M365 Copilot om ikke at klikke på links fra ukendte afsendere — selv hvis linket ser ud til at komme fra Microsoft.
- Aktiver avanceret linkbeskyttelse: Slå Microsoft Defender for Office 365’s Safe Links til, så links automatisk scannes før de åbnes.
- Overvåg kontologfiler: Gennemgå Azure AD-logfiler (adgangslogger) for usædvanlig login-aktivitet eller uventede rettigheds-ændringer.
- Kontakt jeres IT-leverandør: Hvis I ikke selv har kapacitet til ovenstående, kontakt jeres IT-partner eller os hos Auroa for hjælp.
Handl inden for 24-48 timer
Hos Auroa anbefaler vi, at du behandler denne sårbarhed som en akut opgave. Prioritér at få installeret Microsofts seneste opdateringer til M365 Copilot og slå Safe Links til i Defender for Office 365. Kombinér det med en kort og konkret advarsel til dine medarbejdere om ikke at klikke på mistænkelige links — selv tilsyneladende legitime Microsoft-links. Har du brug for hjælp til at vurdere om din virksomhed er ramt eller til at implementere beskyttelsen, er du velkommen til at kontakte os.
Tidslinje
Konkrete eksempler
Phishing-link via e-mail
En angriber sender en e-mail til din medarbejder med et link der tilsyneladende peger på en Microsoft 365 Copilot-funktion. Linket bruger Copilots egne domæner, så det ser legitimt ud. Når medarbejderen klikker, bliver vedkommende automatisk videresendt til en falsk Microsoft-loginside, der stjæler brugernavnet og adgangskoden. Angriberen logger nu ind som medarbejderen og får adgang til virksomhedens data og systemer.
Rettigheds-eskalering via kompromitteret konto
Via open redirect-angrebet overtager en angriber kontoen på en normal medarbejder. Fordi fejlen tillader privilege escalation (rettigheds-eskalering), kan angriberen herefter skaffe sig adgang til administrative funktioner i Microsoft 365 — f.eks. mulighed for at oprette nye brugere, ændre sikkerhedsindstillinger eller eksportere hele postkasser. Det er præcis den type adgang, der bruges som startpunkt for ransomware-angreb.
Angreb via Teams-chat
En angriber, der allerede har kompromitteret én konto i din organisations Teams-miljø, sender et tilsyneladende harmløst Copilot-link i en intern Teams-chat. Kollegaer stoler på afsenderen og klikker på linket. Open redirect-mekanismen sender dem til en ondsindet side, og angrebet breder sig horisontalt til flere konti i virksomheden uden at vække mistanke i første omgang.
Ofte stillede spørgsmål
Hvad er en open redirect, og hvorfor er det farligt?
En open redirect er en fejl i et websted eller en tjeneste, der tillader at brugere automatisk videresendes til en anden hjemmeside — også selvom den er ondsindet. Det er farligt, fordi linket der sendes til dig ser gyldigt ud (f.eks. starter med microsoft.com), men i virkeligheden fører dig til en falsk side, der kan stjæle dit login.
Skal jeg stoppe med at bruge M365 Copilot?
Nej, du behøver ikke stoppe. Du bør derimod sikre, at du har de seneste opdateringer installeret og at dine medarbejdere er advaret om ikke at klikke på uventede links. Når patchen er på plads, er risikoen markant reduceret.
Hvordan ved jeg om nogen allerede har udnyttet sårbarheden mod os?
Tjek jeres Azure Active Directory-logfiler (adgangslogger) for usædvanlige login-forsøg, ukendte lokationer eller pludselige ændringer i brugerrettigheder. Microsofts Defender-portal kan også vise alarmer om mistænkelig aktivitet. Kontakt os, hvis I er usikre på hvad I kigger efter.
Er det kun Copilot der er ramt, eller også andre Microsoft-produkter?
Ifølge de tilgængelige oplysninger er det specifikt Microsoft 365 Copilot der er identificeret som det ramte produkt i denne sårbarhed. Bruger din virksomhed ikke Copilot, er I ikke direkte berørt af netop denne CVE.
Hvad koster det os hvis vi ikke gør noget?
Konsekvenserne kan være alvorlige: kompromitterede brugerkonti, datalæk, tab af fortrolige oplysninger og potentielt et udgangspunkt for angreb på kolleger og kunder. Derudover kan et databrud medføre bøder under GDPR og tab af omdømme. Investering i en hurtig reaktion er langt billigere end oprydningen efter et angreb.
Hvem er ansvarlig for at opdatere M365 Copilot — os eller Microsoft?
Microsoft udgiver opdateringerne, men det er jeres ansvar at sikre de bliver installeret. I mange M365-opsætninger sker opdateringer automatisk, men det er altid en god idé at verificere i Microsoft 365 Admin Center, at den seneste version er aktiv i jeres miljø.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Url redirection to untrusted site (‘open redirect’) in M365 Copilot allows an unauthorized attacker to elevate privileges over a network.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
