Microsoft lukker kritiske Copilot-hull

Microsoft har publisert tre nye kritiske sårbarheter knyttet til Copilot. Det er ikke et varsel om at norske virksomheter må kaste seg rundt med en nødpatch i dag. Microsoft skriver at hullene allerede er mitigert i skytjenesten.

Likevel er saken viktig. Den viser at Copilot ikke lenger kan behandles som et kontorverktøy på siden av resten av sikkerhetsstyringen. Når AI-assistenten har tilgang til dokumenter, e-post, møter, nettleser og etter hvert agenter og interne systemer, blir sårbarheter i assistenten en del av virksomhetens ordinære angrepsflate.

Microsoft Security Response Center publiserte 4. juni tre CVE-er i juni-slippet. Den alvorligste er CVE-2026-45497, en Remote Code Execution-sårbarhet i Microsoft M365 Copilot. Microsoft gir den alvorlighetsgrad Critical og CVSS 7,7. Årsaken er command injection, registrert som CWE-77. Ifølge Microsoft kan en autorisert angriper utnytte svakheten til å kjøre kode over nettverk.

De to andre sakene handler om informasjonslekkasje. CVE-2026-42824 gjelder M365 Copilot, også med command injection som årsak. Microsoft beskriver den som en Critical Information Disclosure-sårbarhet med CVSS 6,5, der en uautorisert angriper kan lekke informasjon over nettverk. CVE-2026-47644 gjelder Copilot Chat i Microsoft Edge. Her peker Microsoft på output injection mot en nedstrøms komponent, registrert som CWE-74. Også den er klassifisert som Critical, med CVSS 6,5.

For alle tre skriver Microsoft at sårbarhetene ikke er kjent utnyttet og ikke var offentlig kjent før publisering. Selskapet oppgir også at de er fullt mitigert av Microsoft, og at brukere av skytjenesten ikke trenger å gjøre egne tiltak for å beskytte seg mot akkurat disse svakhetene.

Det kan høres beroligende ut. Men det bør ikke gjøre saken liten. Cloud-CVE-er har en annen rytme enn klassiske Windows-patcher. Kunden får ofte ikke en fil å rulle ut eller en server å restarte. Leverandøren fikser i plattformen. Det betyr at sikkerhetsjobben flytter seg fra patching alene til oversikt, bevis, logging og risikovurdering.

For CIO og CISO er første spørsmål derfor ikke bare om Microsoft har lukket hullene. Spørsmålet er hva Copilot faktisk har tilgang til i egen tenant. Hvilke SharePoint-områder, Teams-kanaler, e-postbokser, CRM-data, intranett, dokumentarkiv og nettleserdata kan assistenten lese? Hvilke plugins, connectors og agenter er aktivert? Hvilke grupper har utvidet tilgang fordi opprydding i M365-rettigheter har ligget på etterskudd i årevis?

Det andre spørsmålet er hva virksomheten kan se i ettertid. Hvis en Copilot-svakhet kan gi informasjonslekkasje, må virksomheten vite hvilke logger som faktisk finnes, hvor lenge de beholdes, og hvem som følger med. Det holder ikke med en generell setning om at Microsoft logger mye. Sikkerhetsmiljøet må vite hvilke Copilot-hendelser som havner i Purview, Defender, Entra, Edge-logger og SIEM. De må også vite hvilke hendelser som ikke gjør det.

Det tredje spørsmålet er hvordan AI-tjenester behandles i sårbarhetsstyringen. Mange virksomheter har modne prosesser for servere, klienter, nettverk og SaaS. AI-assistenter havner ofte i en egen begeistringsboks: pilot, innovasjon, produktivitet, endringsledelse. Den boksen holder ikke når leverandøren selv publiserer Critical-CVE-er på tjenesten. Copilot må inn i samme risikomøter som Exchange, Entra ID, endpoint, nettleser og identitetsstyring.

Det betyr ikke at Copilot bør stoppes. Det betyr at styringen må bli mer presis. Virksomheter bør ha en oppdatert oversikt over hvilke Copilot-varianter som er i bruk, hvem som har lisens, hvilke datakilder som er koblet på, hvilke tredjepartsutvidelser som er tillatt, og hvilke sikkerhetskontroller som gjelder for sensitive områder. De bør også ha en enkel prosedyre for leverandørvarsler: hvem leser MSRC, hvem vurderer relevans, hvem dokumenterer at risikoen er håndtert, og hvem informerer ledelsen når saken er større enn vanlig drift.

Saken er også et varsel til styret. AI-risiko blir ofte diskutert som hallucinasjoner, personvern, opphavsrett og ansattes bruk av åpne chatboter. Det er for smalt. Når AI-assistentene flyttes inn i kjernesystemene, får de vanlige tekniske sårbarheter også. Command injection og information disclosure er ikke nye klasser. Det nye er plasseringen: inne i en assistent som er laget for å hente, tolke og koble virksomhetsdata.

For norske virksomheter er det praktiske rådet nøkternt: behandle Copilot som en privilegert arbeidsflate. Ikke som en chatbot. Det innebærer minst fire grep. Rydd i datatilganger før utrulling. Begrens connectors og agenter til godkjente behov. Koble Copilot-hendelser inn i sikkerhetsovervåkingen. Krev at leverandørens cloud-CVE-er vurderes og arkiveres på samme måte som andre kritiske sårbarheter.

Microsoft har gjort det riktige ved å publisere CVE-er for skybaserte AI-tjenester. Det gir kundene bedre innsyn enn den gamle modellen der leverandøren bare fikset i stillhet. Men innsyn har verdi først når virksomheten bruker det.

Copilot er i ferd med å bli en del av standard arbeidsflate i mange selskaper. Da må også risikostyringen slutte å behandle AI som et sideprosjekt.

Kilder og medier

Primærkilde: Microsoft Security Response Center, CVE-2026-45497, https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45497

Tilleggskilder fra Microsoft Security Response Center: CVE-2026-42824, https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42824 og CVE-2026-47644, https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47644

Kildekreditering: Microsoft Security Response Center. Thumbnail: OpenAI Image 2 / hogby.ai