CVE-2026-47646: Kritisk fejl i Dynamics 365 Customer Voice
Kritisk XSS-fejl i Microsoft Dynamics 365 Customer Voice giver angribere mulighed for at stjæle data og udgive sig for at være din virksomhed.
Hvad er det?
CVE-2026-47646 er en kritisk sikkerhedsfejl i Microsoft Dynamics 365 Customer Voice — det værktøj mange virksomheder bruger til at sende spørgeskemaer og indsamle kundefeedback. Fejlen kaldes cross-site scripting (forkortet XSS), hvilket betyder, at en angriber kan gemme skadelig kode i en webside eller et link. Når du eller en af dine medarbejdere klikker på et inficeret link, aktiveres koden automatisk i browseren. Det kræver ingen teknisk viden hos angriberen at udnytte fejlen, og den kan udføres fra internettet uden forudgående adgang til dit system.
Hvem rammer det?
Fejlen rammer alle virksomheder og organisationer, der bruger Microsoft Dynamics 365 Customer Voice — typisk til kundeundersøgelser, tilfredshedsmålinger eller feedback-formularer. Det gælder både cloud-versionen (online) og integrerede løsninger. Dine medarbejdere, kunder og samarbejdspartnere, der modtager eller klikker på links fra din Dynamics 365 Customer Voice-platform, kan være i farezonen. Særligt salgs-, marketing- og supportteams, der arbejder med kundekommunikation, bør være opmærksomme.
Hvad kan ske?
Hvis en angriber udnytter denne fejl, kan følgende ske:
- Identitetstyveri og spoofing: Angriberen kan udgive sig for at være din virksomhed og sende falske beskeder eller formularer til dine kunder.
- Datatyveri: Følsomme oplysninger som login-tokens og sessionsdata (adgangsnøgler i browseren) kan stjæles, så angriberen får adgang til jeres systemer.
- Phishing-angreb: Angriberen kan omdirigere dine kunder til falske sider, der ligner jeres rigtige sider, og narre dem til at afgive passwords eller kortoplysninger.
- Tab af tillid: Hvis kunder modtager svindelbeskeder, der tilsyneladende kommer fra jer, kan det skade jeres omdømme alvorligt.
Hvor alvorligt er det?
Sårbarheden er vurderet til 9.3 ud af 10 (Kritisk) af det internationale sikkerhedsorgan CVSS. Det er næsten det højeste niveau. Fejlen kan udnyttes over internettet uden nogen form for forudgående adgang — angriberen behøver blot at få ét klik fra en af dine brugere. Kombinationen af høj fortroligheds- og integritetspåvirkning betyder, at både data og systemadgang er i fare. Den lave angrebskompleksitet gør det til et oplagt mål for selv mindre erfarne angribere.
Hvad gør jeg nu?
Du bør handle hurtigt. Følg disse trin:
- Kontrollér din Dynamics 365 Customer Voice-version: Log ind i dit Microsoft 365 administrationscenter og tjek, om du kører en opdateret version af Dynamics 365 Customer Voice.
- Installér sikkerhedsopdateringen: Microsoft har udsendt en patch (sikkerhedsrettelse). Sørg for at opdatere hurtigst muligt via Microsoft Update eller dit administrationscenter.
- Advar dine medarbejdere: Informér dit team om ikke at klikke på mistænkelige links, der angiveligt kommer fra Customer Voice, og om at rapportere usædvanlig adfærd i browseren.
- Gennemgå aktive undersøgelser og formularer: Tjek om der er ukendte eller uautoriserede ændringer i jeres aktive Customer Voice-formularer og spørgeskemaer.
- Overvåg loginaktivitet: Se efter usædvanlige login-forsøg eller ukendte sessioner i Microsoft 365’s sikkerhedslog (Audit Log).
- Kontakt jeres IT-partner: Er du i tvivl, så kontakt din IT-leverandør eller en sikkerhedskonsulent, der kan hjælpe med at verificere jeres opsætning.
Opdatér inden for 24–48 timer
Vi anbefaler, at du opdaterer Microsoft Dynamics 365 Customer Voice hurtigst muligt — senest inden for 48 timer. Selvom angrebet kræver et klik fra en bruger, er det let at narre medarbejdere eller kunder via et tilsyneladende legitimt link. Sørg desuden for at informere dine medarbejdere, så de er på vagt over for mistænkelige henvendelser. Har du ikke interne IT-ressourcer til at håndtere dette, er du velkommen til at kontakte os for hjælp.
Tidslinje
Konkrete eksempler
Falsk kundeundersøgelse stjæler login
En angriber finder en ikke-opdateret virksomheds Customer Voice-portal og injicerer skadelig JavaScript-kode i en undersøgelsesformular. Virksomheden sender som sædvanlig linket til sine kunder. Når kunderne klikker og udfylder formularen, kører den skjulte kode i baggrunden og sender kundernes session-cookies (digitale adgangsnøgler) til angriberen, som derefter kan tilgå kundernes konti.
Angriber udgiver sig for at være virksomheden
Via XSS-fejlen manipulerer en angriber udseendet af en aktiv feedback-formular hos en SMV. Formularen omdirigerer medarbejdere og kunder til en falsk loginside, der ser identisk ud med virksomhedens rigtige Microsoft 365-login. Ofrene indtaster deres brugernavn og password, som angriberen opsamler og bruger til at logge ind på virksomhedens systemer.
Intern medarbejder kompromitteret via link i e-mail
En angriber sender en e-mail til en medarbejder i virksomhedens salgsafdeling med et link til en tilsyneladende legitim Customer Voice-undersøgelse. Linket indeholder en indlejret XSS-payload (skadelig kode). Når medarbejderen klikker på linket, stjæles vedkommendes session-token, og angriberen får adgang til medarbejderens Dynamics 365-data — herunder kundeoplysninger og korrespondance.
Ofte stillede spørgsmål
Hvad er cross-site scripting (XSS)?
Cross-site scripting er en type angreb, hvor en angriber injicerer skadelig kode i en webside eller et link. Når du klikker på linket, kører koden i din browser, uden at du opdager det. Koden kan f.eks. stjæle dine login-oplysninger eller omdirigere dig til en falsk hjemmeside.
Bruger vi Dynamics 365 Customer Voice — er vi sikre at være ramt?
Alle virksomheder, der bruger Dynamics 365 Customer Voice og endnu ikke har installeret sikkerhedsopdateringen, er potentielt sårbare. Det er ikke sikkert, at I allerede er angrebet, men risikoen er reel og alvorlig nok til at handle straks. Tjek jeres Microsoft 365-administrationscenter for at se, om opdateringen er installeret.
Kan vores kunder blive berørt, selvom de ikke bruger Dynamics 365?
Ja. Hvis en angriber udnytter fejlen i jeres Customer Voice-opsætning, kan jeres kunder modtage falske beskeder eller links, der ser ud til at komme fra jer. De behøver ikke selv at have Dynamics 365 for at blive snydt — det er nok, at de modtager og klikker på et inficeret link.
Er det nok at informere medarbejderne — eller skal vi opdatere?
Begge dele er nødvendige. Medarbejderbevidsthed reducerer risikoen for, at nogen klikker på et ondsindet link, men det eliminerer ikke sårbarheden. Den eneste holdbare løsning er at installere Microsofts sikkerhedsopdatering. Informér medarbejderne som en midlertidig foranstaltning, mens I sørger for at opdatere systemet.
Hvad gør Microsoft for at løse problemet?
Microsoft har udsendt en sikkerhedsopdatering (patch), der lukker hullet. Opdateringen distribueres via de normale Microsoft Update-kanaler og administrationscenter til Dynamics 365. Det er dit ansvar som virksomhed at sikre, at opdateringen installeres i jeres miljø.
Hvordan ved jeg, om vi allerede er blevet angrebet?
Tegn på et angreb kan inkludere usædvanlig adfærd i browseren, ukendte ændringer i jeres Customer Voice-formularer, eller klager fra kunder om mistænkelige beskeder fra jer. Tjek Microsoft 365’s Audit Log (revisionslog) for uautoriseret aktivitet. Er du i tvivl, så kontakt en sikkerhedskonsulent, der kan foretage en grundig analyse.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Improper neutralization of input during web page generation (‘cross-site scripting’) in Dynamics 365 Customer Voice allows an unauthorized attacker to perform spoofing over a network.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
