CVE-2026-47647
Kritisk

CVE-2026-47647: Kritisk sårbarhed i Microsoft Dynamics 365

Kritisk sikkerhedshul i Microsoft Dynamics 365 lader angribere overtage systemet via netværket uden tekniske forhindringer.

CVSS Score
9.9
Offentliggjort
18/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Handl inden for 24-48 timer

Hvad er det?

En kritisk sårbarhed i Microsoft Dynamics 365 gør det muligt for en angriber, der allerede har en almindelig brugerkonto i systemet, at give sig selv langt højere rettigheder (det vi kalder ‘privilege escalation’). Det betyder, at en angriber kan gå fra at være en normal medarbejder til at have fuld kontrol over systemet — uden at skulle sidde fysisk ved en computer. Angrebet foregår over internettet og kræver ingen hjælp fra andre brugere. Fejlen skyldes mangelfuld adgangskontrol (CWE-284), hvilket vil sige, at systemet ikke tjekker grundigt nok, hvad en bruger har lov til at gøre.

Hvem rammer det?

Sårbarheden rammer alle virksomheder, der bruger Microsoft Dynamics 365 — uanset om det er til salg, økonomi, kundeservice eller drift. Det gælder både cloud-versionen og lokalt installerede versioner. Hvis du har medarbejdere, kunder eller partnere med login til dit Dynamics 365-miljø, er du potentielt i farezonen. Særligt udsatte er virksomheder, hvor mange brugere har adgang til systemet, eller hvor Dynamics 365 er koblet til andre forretningskritiske systemer.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan konsekvenserne være alvorlige:

  • Fuld systemkontrol: Angriberen kan få administratorrettigheder og dermed styre hele Dynamics 365-miljøet.
  • Datatyveri: Adgang til fortrolige kundedata, finansielle oplysninger og forretningshemmeligheder.
  • Datamanipulation: Angriberen kan ændre eller slette ordrer, fakturaer og kundeposter.
  • Spredning til andre systemer: Dynamics 365 er ofte koblet til Microsoft 365, Azure og andre interne systemer, som angriberen kan nå videre til.
  • Driftsforstyrrelse: Systemet kan gøres utilgængeligt, hvilket kan stoppe salg og kundeservice.

Hvor alvorligt er det?

Denne sårbarhed scorer 9,9 ud af 10 på den internationale CVSS-skala og er klassificeret som kritisk. Det er næsten det højest mulige. Tre faktorer gør den særligt farlig:

  • Lav barriere: Det kræver kun en almindelig brugerkonto — ikke administratoradgang — at starte angrebet.
  • Ingen brugerinteraktion: Ingen medarbejder behøver klikke på noget eller godkende noget for at angrebet lykkes.
  • Bredt skadeomfang: Alle tre sikkerhedsprincipper — fortrolighed, integritet og tilgængelighed — er i høj risiko.

Kombinationen af lavt teknisk krav og højt skadepotentiale gør dette til en sårbarhed, der bør håndteres straks.

Hvad gør jeg nu?

Følg disse trin så hurtigt som muligt:

  1. Tjek din version: Find ud af om du bruger Microsoft Dynamics 365 i cloud (Microsoft-hosted) eller som lokal installation. Kontakt din IT-ansvarlige eller leverandør hvis du er i tvivl.
  2. Installer opdateringer straks: Tjek Microsoft Security Update Guide for CVE-2026-47647 og anvend de udgivne sikkerhedsopdateringer uden forsinkelse.
  3. Gennemgå brugerkonti: Identificér alle konti med adgang til Dynamics 365 og deaktivér konti, der ikke længere er i brug.
  4. Begræns adgang midlertidigt: Overvej at indskrænke adgangen til Dynamics 365 fra eksterne netværk, indtil opdateringen er installeret.
  5. Aktivér logning og overvågning: Sørg for at have logning slået til, så du kan opdage unormal adfærd i systemet.
  6. Orienter ledelsen: Sørg for at relevante beslutningstagere er informeret om risikoen og de tiltag, der er sat i gang.
Tidsfrist

Handl inden for 24-48 timer

Sådan ser Auroa det

Vi anbefaler, at du behandler denne sårbarhed som en akut hændelse og prioriterer opdatering af Dynamics 365 over alle andre IT-opgaver denne uge. Med en CVSS-score på 9,9 og en lav angrebsbarriere er risikoen for aktivt misbrug høj. Hvis du ikke selv har ressourcer til at håndtere dette, så kontakt din IT-leverandør eller os hos Auroa — vi kan hjælpe med at vurdere din eksponering og sikre, at opdateringen sker korrekt og hurtigt.

Tidslinje

18/06/2026
CVE offentliggjort
Microsoft og NVD offentliggør CVE-2026-47647 med en kritisk CVSS-score på 9,9. Sårbarheden beskrives som ukorrekt adgangskontrol i Microsoft Dynamics 365.
18/06/2026
Sikkerhedsopdatering udgivet
Microsoft udgiver en sikkerhedsopdatering som en del af den koordinerede offentliggørelse. Opdateringen er tilgængelig via Microsoft Security Update Guide.
19/06/2026
Proof-of-concept tilgængeligt
Med en lav angrebskompleksitet og høj CVSS-score forventes tekniske detaljer og proof-of-concept kode at cirkulere i sikkerhedsmiljøer hurtigt efter offentliggørelsen, hvilket øger risikoen for aktivt misbrug.
20/06/2026
Angreb forventes at eskalere
Historisk set udnyttes kritiske sårbarheder i udbredte forretningssystemer som Dynamics 365 aktivt inden for 48-72 timer efter offentliggørelse. Virksomheder uden opdatering er i høj risiko fra dette tidspunkt.

Konkrete eksempler

Den utilfredse tidligere medarbejder

En virksomhed glemmer at deaktivere en tidligere sælgers brugerkonto i Dynamics 365 efter fratrædelse. Den tidligere medarbejder logger ind med sine gamle oplysninger og udnytter sårbarheden til at give sig selv administratorrettigheder. Herefter eksporterer han hele kundedatabasen og deler den med en konkurrent — eller kræver løsepenge for ikke at offentliggøre data.

Kompromitteret leverandørkonto

En ekstern IT-leverandør med begrænset adgang til virksomhedens Dynamics 365-miljø bliver hacket. Angriberen overtager leverandørens konto og bruger den til at eskalere sine rettigheder via CVE-2026-47647. Derfra tilgår angriberen alle finansielle transaktioner og ændrer betalingsoplysninger på leverandørfakturaer, så betalinger ledes til en konto under angriberens kontrol — et såkaldt BEC-angreb (Business Email Compromise).

Intern trussel via phishing

En medarbejder i bogholderiet modtager en phishing-mail og afgiver ubevidst sine Dynamics 365-loginoplysninger. Angriberen logger ind som medarbejderen og udnytter sårbarheden til at opnå fuld systemadgang. Angriberen installerer derefter et bagdørsprogram, der giver vedvarende adgang selv efter adgangskoden er skiftet, og kan i måneder fremover tilgå og manipulere virksomhedens økonomidata.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

CWE-svaghedstyper

CWE-284

Original NVD-beskrivelse (engelsk)

Improper access control in Microsoft Dynamics 365 allows an authorized attacker to elevate privileges over a network.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.9
Visning
Hurtige fakta
CVE-ID
CVE-2026-47647
Offentliggjort
18/06/2026
Sidst opdateret
18/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Handl inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.