Excel-sårbarhet låter Copilot läcka data utan att du märker det
CVE-2026-26144 gör att en angripare kan få Copilot Agent att skicka känslig data från Excel utan användarinteraktion. Patcha nu.
Microsoft släppte en patch för CVE-2026-26144 i mars månads Patch Tuesday. Det är en XSS-sårbarhet i Excel som låter en angripare utnyttja Copilot Agent-läget för att exfiltrera data — helt utan att användaren klickar på något.
Kort sagt: en specialkonstruerad Excel-fil kan trigga Copilot att skicka känslig information till en extern server. Inget popup-fönster, ingen varning, ingen användarinteraktion alls.
Varför det här är allvarligt
Microsoft klassade CVE-2026-26144 som Critical trots att CVSS-poängen landade på 7.5. Anledningen är attackytan: Copilot Agent är designad att läsa, sammanfatta och agera på dokumentinnehåll automatiskt. När den automationen kapas av en angripare blir AI-assistenten ett verktyg för datastöld.
För svenska SMF-företag som kör M365 Business Premium med Copilot aktiverat är risken konkret. Tänk ekonomiavdelningen som jobbar med känsliga siffror i Excel — exakt den typen av data en angripare vill åt.
Vad du bör göra
Tre steg, i ordning:
- Verifiera att marspatcharna är installerade. Kolla i Intune eller Microsoft 365 admin center att
M365 Appsär uppdaterade till senaste versionen. - Granska Copilot Agent-inställningar. Om ni inte aktivt använder Agent-läget i Excel — stäng av det tills patchen är verifierad.
- Övervaka utgående nätverkstrafik från Office-processer. Ovanliga anslutningar från
excel.exebör flaggas.
Hur vi kan hjälpa
Vi erbjuder en snabb patchverifiering (1-2 timmar) där vi kontrollerar att alla endpoints har rätt uppdateringar. För er som vill gå djupare har vi ett Copilot-säkerhetspaket där vi granskar Agent-behörigheter, dataåtkomstpolicyer och styrning.
Vill du att vi kollar er miljö? Kontakta oss.