Excel-sårbarhet utnyttjar Copilot för att stjäla data — CVE-2026-26144
En kritisk sårbarhet i Microsoft Excel kombinerar XSS med prompt injection för att få Copilot Agent att exfiltrera känslig data. Ingen användarinteraktion krävs.
Microsoft patchade i tisdags en sårbarhet i Excel som fick ovanligt mycket uppmärksamhet från säkerhetsforskare. CVE-2026-26144 är klassad som Critical trots att CVSS-poängen stannar på 7.5 — och anledningen är hur den fungerar.
Sårbarheten kombinerar en XSS-brist i Excel med indirekt prompt injection mot Copilot Agent. Resultatet: en angripare bäddar in skadlig kod i en Excel-fil. När filen öppnas — eller bara visas i förhandsgranskningsfönstret — triggas attacken utan att användaren klickar på något.
Vad som händer tekniskt
Excel saniterar inte korrekt användarskapat innehåll i arbetsböcker. Det innebär att en angripare kan injicera markup som exekveras när filen renderas. Om Copilot Agent är aktiverat i miljön kan den injicerade koden instruera Copilot att skicka data till en extern server.
Det är en zero-click-attack. Användaren behöver inte öppna filen — förhandsgranskning räcker.
Varför det spelar roll för svenska SMF
Fler och fler företag aktiverar Copilot i sina M365 Business Premium-miljöer. Microsofts egen marknadsföring driver på adoption. Men den här sårbarheten visar att AI-assistenter skapar en helt ny attackyta.
Om ni har Copilot-licenser i organisationen — och Excel-filer som delas via SharePoint eller e-post — var ni potentiellt exponerade innan patchen den 10 mars.
Vad ni ska göra
- Verifiera att marsuppdateringarna är installerade på alla enheter. Kolla i Intune under Update compliance.
- Granska Copilot Agent-inställningarna i er tenant. Specifikt: vilka nätverksresurser kan Copilot nå?
- Kontrollera era DLP-policyer i Purview — säkerställ att känslighetsetiketter faktiskt blockerar AI-åtkomst.
- Övervaka Sign-In Logs för ovanlig aktivitet kopplad till Copilot-tjänsten.
Patchen finns i Microsofts marsuppdatering. Om ni använder automatisk uppdatering via Intune bör den redan vara på plats.
Så kan vi hjälpa
Vi erbjuder en Copilot-säkerhetsgranskning (halvdag) där vi verifierar att er Copilot-konfiguration är säker, att DLP-policyer fungerar som tänkt, och att nätverksegress är begränsad. Kontakta oss om ni vill boka en genomgång.