Excel-sarbarhet kapar Copilot — patcha direkt

Microsoft patchade den 10 mars CVE-2026-26144, en XSS-sårbarhet i Excel som gör att skadlig kod i en arbetsbok kan aktivera Copilot Agent-läget och skicka iväg data till en extern server. Helt utan att användaren klickar på något.

Det här är inte en teoretisk attack. Mekanismen funkar så här: en angripare bäddar in XSS-payload i en Excel-fil. När filen öppnas — eller bara förhandsgranskas — triggas Copilot Agent att göra ett nätverksanrop med data från arbetsboken. Finansiella rapporter, kundlistor, budgetar. Allt som ligger i filen.

Varför det spelar roll för svenska SMF

De flesta M365 Business Premium-kunder har Copilot aktiverat. Många har det konfigurerat med agentfunktioner som har nätverksåtkomst. Det innebär att en enda skadlig Excel-fil, skickad som bilaga eller delad via SharePoint, kan orsaka dataläckage.

Risken är störst i organisationer som:

• Har Copilot Agent-läget aktiverat med utgående nätverksåtkomst
• Inte har distribuerat mars 2026 Patch Tuesday-uppdateringar ännu
• Hanterar känslig finansiell data i Excel (dvs. alla)

Vad du bör göra nu

Steg ett: verifiera att mars månads säkerhetsuppdateringar är installerade på alla enheter. Kolla i Intune under enhetsefterlevnad. Om du ser enheter som inte rapporterat in efter 10 mars — följ upp.

Steg två: granska Copilot Agent-konfigurationen. Behöver Copilot verkligen kunna göra utgående nätverksanrop? För de flesta SMF-kunder är svaret nej. Stäng av agentnätverksåtkomst om den inte aktivt används.

Steg tre: informera användarna. Öppna inte okända Excel-filer från externa avsändare utan att först verifiera källan.

Så kan vi hjälpa

Vi erbjuder en 2-timmars snabbkoll där vi verifierar patchstatus och Copilot-konfiguration i er M365-miljö. För en grundligare genomgång av hela Office-säkerheten gör vi en halvdagsassessment.

Vill du att vi kollar er miljö? Kontakta oss.

---

Referenser: Microsoft MSRC — CVE-2026-26144, BleepingComputer — March 2026 Patch Tuesday