Zero-click XSS-lek in Microsoft Excel maakt datadiefstal via Copilot mogelijk

[Captain Kirk]

Tijdens de patchdinsdag van maart heeft Microsoft updates uitgebracht voor een kritieke kwetsbaarheid in Excel, waardoor een aanvaller informatie van gebruikers via Copilot kan stelen, waarbij een gebruiker nergens op hoeft te klikken. Tevens zijn twee remote code execution (RCE) kwetsbaarheden in Microsoft Office gepatcht die ook via het Voorbeeldvenster (Preview Pane) zijn te misbruiken.

Kwetsbaarheden waarmee een aanvaller informatie kan stelen worden zelden als kritiek aangemerkt. In het geval van CVE-2026-26144, aanwezig Microsoft 365 Apps for Enterprise, is dat wel het geval. Het betreft een cross-site scripting (XSS) kwetsbaarheid waardoor een aanvaller via de Copilot Agent mode in Excel data kan stelen. Via deze mode kunnen gebruikers AI-chatbot Copilot gebruiken voor het verwerken en bewerken van data in spreadsheets. Misbruik van de kwetsbaarheid vereist volgens Microsoft geen interactie. Het techbedrijf spreekt in het beveiligingsbulletin over 'zero-click' informatiediefstal, maar geeft geen verdere details.

Daarnaast wordt er ook gewaarschuwd voor de twee kritieke kwetsbaarheden in Microsoft Office waardoor remote code execution mogelijk is. Het gaat om CVE-2026-26110 en CVE-2026-26113. Microsoft laat niet weten hoe aanvallers misbruik van de problemen kunnen maken, maar meldt wel dat het Voorbeeldvenster (Preview Pane) een aanvalsvector is. Microsoft roept beheerders en gebruikers op om de beschikbaar gestelde updates te installeren.

 

bron: https://www.security.nl