Zero-click XSS-lek in Microsoft Excel maakt datadiefstal via Copilot mogelijk

In dit artikel:

Tijdens Patch Tuesday van maart heeft Microsoft kritieke updates uitgebracht voor meerdere kwetsbaarheden in Excel en Office. Belangrijkste zaak is CVE-2026-26144 in Microsoft 365 Apps for Enterprise: een cross-site scripting‑lek in Excel waardoor een aanvaller via de Copilot Agent‑modus data uit spreadsheets kan ontvreemden zonder dat de gebruiker iets hoeft te doen. Copilot Agent‑modus laat de AI‑assistent rechtstreeks gegevens in een werkblad verwerken, waardoor misbruik van deze aard bijzonder risicovol is.

Daarnaast zijn twee kritieke remote‑code‑executionlekken gedicht (CVE-2026-26110 en CVE-2026-26113) die in Office misbruikt kunnen worden. Microsoft waarschuwt dat het Voorbeeldvenster (Preview Pane) als aanvalsvector kan dienen, maar verstrekt geen gedetailleerde informatie over hoe de kwetsbaarheden precies worden uitgebuit. Omdat informatie‑diefstalzaken zelden als kritisch worden aangemerkt, is de hoge classificatie opvallend.

Microsoft roept beheerders en eindgebruikers op de beschikbare updates zo snel mogelijk te installeren. Als tijdelijke mitigaties kunnen organisaties overwegen Copilot‑functionaliteit te beperken en het Voorbeeldvenster uit te schakelen totdat alle systemen zijn bijgewerkt.