CVE-2026-47645: Sårbarhed i Microsoft 365 Copilot
Sikkerhedsfejl i Microsoft 365 Copilot Business Chat kan narre dine medarbejdere til falske hjemmesider og give angribere adgang til jeres systemer.
Hvad er det?
CVE-2026-47645 er en sårbarhed i Microsoft 365 Copilots Business Chat-funktion. Fejlen kaldes et ‘open redirect’ (åben viderestilling), hvilket betyder, at en angriber kan konstruere et særligt link, der tilsyneladende peger på en legitim Microsoft-side, men i virkeligheden sender brugeren videre til en falsk hjemmeside kontrolleret af angriberen. Derfra kan angriberen forsøge at stjæle loginoplysninger eller opnå forhøjede rettigheder (dvs. få adgang til systemer og data, de normalt ikke måtte se) i jeres Microsoft 365-miljø.
Hvem rammer det?
Sårbarheden rammer alle virksomheder og organisationer, der bruger Microsoft 365 Copilot med Business Chat aktiveret. Det er særligt relevant for SMV’er, der bruger Copilot som en del af deres daglige arbejdsgang i Teams, Outlook eller via browser. Angriberen behøver ingen forudgående adgang til jeres systemer — det kræver blot, at én medarbejder klikker på et ondsindet link, f.eks. sendt via e-mail eller chat.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan følgende ske:
- Loginoplysninger stjæles: Medarbejderen sendes til en falsk login-side, der ligner Microsofts ægte side, og indtaster sit brugernavn og kodeord.
- Kontoovertag: Med de stjålne oplysninger kan angriberen logge ind på jeres Microsoft 365-miljø og tilgå e-mails, filer og Copilot-samtaler.
- Privilegieeskalering: Angriberen kan opnå højere adgangsrettigheder end normalt og dermed bevæge sig videre ind i jeres systemer.
- Datalæk: Fortrolige forretningsdata, kundeinformationer eller interne dokumenter kan kompromitteres.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8.8 ud af 10 (Alvorlig) på den internationale CVSS-skala (en standard for måling af sikkerhedssårbarheder). Det er en høj score, der afspejler, at:
- Angrebet kan udføres over internettet uden særlige tekniske forudsætninger.
- Angriberen behøver ingen forudgående adgang eller rettigheder til jeres systemer.
- Konsekvenserne er alvorlige for fortrolighed, integritet og tilgængelighed af jeres data.
- Det eneste, der kræves, er at én medarbejder klikker på et ondsindet link — en realistisk risiko i en travl hverdag.
Hvad gør jeg nu?
Du bør handle hurtigt. Her er de vigtigste skridt:
- Installér Microsofts opdatering: Microsoft har udsendt en sikkerhedsopdatering til dette problem. Sørg for, at jeres Microsoft 365-miljø er opdateret hurtigst muligt. Kontakt jeres IT-ansvarlige eller leverandør, hvis I er i tvivl.
- Advar jeres medarbejdere: Send en kort besked til alle brugere af Microsoft 365 Copilot om, at de skal være ekstra påpasselige med links modtaget via e-mail eller chat — også hvis de ser ud til at komme fra Microsoft.
- Aktiver eller tjek multifaktorgodkendelse (MFA): MFA (en ekstra godkendelseskode ved login) reducerer kraftigt risikoen for kontoovertag, selv hvis loginoplysninger stjæles.
- Gennemgå adgangsrettigheder: Sørg for, at medarbejdere kun har de rettigheder, de har brug for. Det begrænser skaden, hvis en konto kompromitteres.
- Overvåg for mistænkelig aktivitet: Bed jeres IT-ansvarlige om at tjekke Microsoft 365’s logfiler for usædvanlige logins eller adgangsforsøg de seneste uger.
Opdatér inden for 7 dage
Auroas anbefaling er klar: Prioritér opdatering af jeres Microsoft 365-miljø nu. Kombinér det med MFA på alle konti og en kort orientering til jeres medarbejdere om risikoen ved mistænkelige links. Denne type sårbarhed udnyttes ofte hurtigt efter offentliggørelse, fordi den er let at bruge og kræver minimale tekniske evner fra angriberen. Har du brug for hjælp til at vurdere jeres eksponering eller gennemføre opdateringen, er du velkommen til at kontakte os.
Tidslinje
Konkrete eksempler
Phishing via falsk Copilot-link
En angriber sender en e-mail til en medarbejder hos din virksomhed, der ser ud til at komme fra en kollega eller Microsoft. E-mailen indeholder et link til, hvad der ligner en Microsoft 365 Copilot Business Chat-session. Linket er konstrueret til at bruge open redirect-fejlen, så det starter på en ægte Microsoft-adresse, men videresender straks til en falsk login-side. Medarbejderen indtaster sine loginoplysninger, og angriberen har nu adgang til jeres Microsoft 365-miljø.
Angreb via Teams-besked
En angriber kompromitterer en ekstern samarbejdspartners Teams-konto og sender et tilsyneladende harmløst link i en fælles Teams-kanal. Linket udnytter sårbarheden i Copilot Business Chat til at videresende klikket til en side, der stjæler Microsoft-tokens (digitale adgangsbeviser). Med disse tokens kan angriberen logge ind som medarbejderen uden at kende kodeordet og uden at udløse MFA i visse konfigurationer.
Privilegieeskalering efter kontoovertag
Efter at have narret en medarbejder med begrænset adgang til at klikke på det ondsindede link, bruger angriberen det stjålne session-token til at eskalere sine rettigheder inden for Microsoft 365-miljøet. Fra en simpel bruger-konto arbejder angriberen sig frem til administrator-niveau og får dermed adgang til at oprette nye brugere, eksportere e-mails eller deaktivere sikkerhedsindstillinger i jeres organisation.
Ofte stillede spørgsmål
Bruger vi overhovedet Microsoft 365 Copilot Business Chat?
Business Chat er en funktion i Microsoft 365 Copilot, som kan tilgås via Microsoft Teams, Outlook eller på copilot.microsoft.com. Hvis din virksomhed har en Microsoft 365 Copilot-licens, bør du antage, at funktionen er tilgængelig for dine brugere. Kontakt jeres IT-ansvarlige for at få bekræftet, hvilke Copilot-funktioner der er aktiverede i jeres miljø.
Skal medarbejderen gøre noget aktivt for at blive ramt?
Ja — angriberen skal have en bruger til at klikke på et ondsindet link. Linket kan være sendt via e-mail, Teams-besked eller endda indlejret i et dokument. Det er ikke nok blot at modtage beskeden; brugeren skal aktivt klikke på linket. Derfor er medarbejderbevidsthed og forsigtighed med ukendte links en vigtig del af forsvaret.
Er vores data allerede blevet stjålet?
Det kan du ikke vide med sikkerhed uden at gennemgå jeres logs. Hvis I har mistanke om, at en medarbejder har klikket på et mistænkeligt Microsoft-link for nylig, bør I straks kontakte jeres IT-ansvarlige eller Auroa for en gennemgang. Microsoft 365 har indbyggede logfiler, der kan afsløre usædvanlige logins eller adgangsforsøg.
Hjælper multifaktorgodkendelse (MFA) mod denne sårbarhed?
MFA beskytter ikke direkte mod selve viderestillingsangrebet, men er en afgørende barriere bagefter. Selv hvis en angriber stjæler en medarbejders kodeord via den falske login-side, vil MFA forhindre dem i at logge ind uden den ekstra godkendelseskode. Det gør MFA til et af de vigtigste forsvarslag, du kan have på plads.
Hvad gør Microsoft for at løse problemet?
Microsoft har identificeret og offentliggjort sårbarheden som en del af deres løbende sikkerhedsopdateringer. Der er udsendt en rettelse, som opdaterer Business Chat-komponenten i Microsoft 365 Copilot. Opdateringer i Microsoft 365 rulles typisk ud automatisk, men det er vigtigt at verificere, at jeres miljø faktisk har modtaget opdateringen.
Kan vi bare deaktivere Business Chat midlertidigt?
Ja, det er en mulighed som midlertidig foranstaltning, mens I venter på at bekræfte, at opdateringen er installeret. Business Chat kan deaktiveres via Microsoft 365 Admin Center af en administrator. Det vil dog begrænse medarbejdernes adgang til funktionen i mellemtiden. Wejer I risikoen op mod driftsbehovet, og vælger I at deaktivere, bør I genaktivere så snart opdateringen er bekræftet.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Url redirection to untrusted site (‘open redirect’) in Microsoft 365 Copilot’s Business Chat allows an unauthorized attacker to elevate privileges over a network.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
