CVE-2026-42824: Sikkerhedsfejl i Microsoft Copilot
Fejl i Microsoft Copilot giver angribere mulighed for at læse fortrolige data uden at logge ind – opdater nu.
Hvad er det?
CVE-2026-42824 er en sikkerhedsfejl i Microsoft Copilot (den AI-assistent der er integreret i Microsoft 365). Fejlen betyder, at en vigtig funktion i Copilot mangler korrekt adgangskontrol (dvs. systemet tjekker ikke, om brugeren har lov til at udføre handlingen). En angriber kan derfor tilgå fortrolige oplysninger via internettet, uden at være logget ind med gyldige rettigheder. Angriberen behøver dog at narre dig eller en medarbejder til at klikke på noget – for eksempel et link – for at udnyttelsen kan lykkes. Sårbarheden er klassificeret som Moderat med en CVSS-score på 6,5 ud af 10.
Hvem rammer det?
Sårbarheden rammer virksomheder og medarbejdere, der bruger Microsoft Copilot som en del af Microsoft 365 (tidligere Office 365). Hvis din virksomhed benytter Copilot i Teams, Word, Outlook eller andre M365-apps, kan dine medarbejdere potentielt blive målrettet. Særligt virksomheder med følsomme data – fx kundeoplysninger, økonomidata eller fortrolig korrespondance – bør handle hurtigt.
Hvad kan ske?
Hvis en angriber udnytter fejlen, kan vedkommende få adgang til fortrolige oplysninger, som Copilot kan tilgå på vegne af brugeren – fx e-mails, dokumenter eller interne data i Microsoft 365. Angrebet kræver, at en medarbejder klikker på et ondsindet link eller besøger en manipuleret side. Der er ingen risiko for, at data bliver ændret eller slettet via denne sårbarhed, men datalæk kan have alvorlige konsekvenser for GDPR-overholdelse og virksomhedens omdømme.
Hvor alvorligt er det?
Microsoft og NVD vurderer sårbarheden som Moderat (CVSS 6,5/10). Angrebskompleksiteten er lav, og det kræver ingen særlige rettigheder at forsøge et angreb – men angriberen er afhængig af, at en bruger interagerer med ondsindet indhold. Det dæmper risikoen en smule. Konsekvensen er primært fortrolighedsbrud (datalæk), ikke datatab eller nedbrud af systemer. For virksomheder med særligt følsomme data bør dette dog behandles med høj prioritet.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed:
- Tjek om I bruger Microsoft Copilot: Undersøg om Copilot er aktiveret i jeres Microsoft 365-miljø – dette kan gøres via Microsoft 365 Admin Center.
- Installer opdateringer: Sørg for at Microsoft 365 og Copilot er opdateret til nyeste version. Microsoft udsender løbende sikkerhedsopdateringer via automatisk opdatering.
- Advér medarbejdere: Gør medarbejdere opmærksomme på ikke at klikke på ukendte links i e-mails eller beskeder – særligt dem der ser ud til at komme fra Microsoft eller Copilot.
- Gennemgå adgangsrettigheder: Begræns hvilke data Copilot har adgang til, ved at justere rettigheder i Microsoft 365 Admin Center efter princippet om mindste privilegium (dvs. giv kun adgang til det nødvendige).
- Overvåg for mistænkelig aktivitet: Tjek Microsoft Defender eller jeres logfiler for usædvanlig adgang til data i M365-miljøet.
Opdatér inden for 7 dage
Vi anbefaler, at du straks sikrer, at Microsoft 365 og Copilot er opdateret via automatisk opdatering eller manuelt via Admin Center. Parallelhermed bør du minde medarbejderne om ikke at klikke på mistænkelige links – det er det eneste, der kræves for at udløse angrebet. Kontakt os gerne, hvis du er usikker på om jeres M365-opsætning er korrekt sikret.
Tidslinje
Konkrete eksempler
Phishing-link i e-mail udnytter Copilot
En angriber sender en e-mail til en medarbejder, der ser ud til at komme fra IT-afdelingen, med et link til et ‘vigtigt dokument i Teams’. Når medarbejderen klikker på linket, udnyttes sårbarheden i Copilot til at sende fortrolige e-mails og filer fra medarbejderens M365-konto tilbage til angriberen – uden at medarbejderen opdager det.
Ondsindet webside kopierer virksomhedens data
En medarbejder besøger en kompromitteret hjemmeside under en googlesøgning. Siden indeholder skjult kode, der ved hjælp af sårbarheden i Copilot tilgår og eksfiltrerer (kopierer og sender videre) interne dokumenter fra virksomhedens SharePoint. Angrebet sker i baggrunden, og medarbejderen mærker intet.
Målrettet angreb mod leder med bred adgang
En direktør eller økonomiansvarlig med adgang til følsomme budgetter og kontrakter modtager en tilsyneladende harmløs Teams-besked med et link. Et klik er nok til at angriberen via Copilot kan hente og læse fortrolige finansielle dokumenter – potentielt et alvorligt brud på forretningshemmeligheder og GDPR.
Ofte stillede spørgsmål
Bruger vi Microsoft Copilot, selvom vi ikke aktivt har valgt det til?
Copilot kan være aktiveret som en del af visse Microsoft 365-licenser uden at I aktivt har slået det til. Log ind på Microsoft 365 Admin Center og søg efter ‘Copilot’ under apps og integrationer for at se om det er aktivt i jeres miljø.
Kan angriberen tilgå vores data uden at nogen klikker på noget?
Nej – denne sårbarhed kræver, at en medarbejder i din virksomhed klikker på et ondsindet link eller besøger en manipuleret hjemmeside. Angriberen kan altså ikke angribe jer helt passivt, men det er vigtigt at huske, at phishing-angreb (bedrageri via falske e-mails og links) er meget udbredte og svære at undgå uden bevidstgørelse.
Hvilke data kan en angriber potentielt se?
En angriber kan potentielt tilgå de data, som Copilot har adgang til på vegne af den ramte bruger – det kan være e-mails, Word- og Excel-filer, Teams-beskeder og andre dokumenter i Microsoft 365. Omfanget afhænger af, hvilke rettigheder den pågældende medarbejder har.
Er vi i fare for GDPR-bøder hvis vi bliver ramt?
Hvis personoplysninger kompromitteres som følge af et angreb, har I pligt til at anmelde det til Datatilsynet inden for 72 timer. En bøde er ikke automatisk, men manglende opdatering og handling på kendte sårbarheder kan anses som utilstrækkelig sikkerhed under GDPR. Det er derfor vigtigt at handle hurtigt og dokumentere jeres tiltag.
Hjælper det at slå Copilot fra midlertidigt?
Ja, som en midlertidig løsning kan I deaktivere Copilot i Microsoft 365 Admin Center, indtil I har bekræftet at opdateringen er installeret. Det er en effektiv måde at eliminere risikoen på, mens I afventer patch-bekræftelse.
Ramte produkter
Microsoft — Copilot
–
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Missing authentication for critical function in M365 Copilot allows an unauthorized attacker to disclose information over a network.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
