Morten Lyhne Petersen
En ny sårbarhed i Microsofts Exchange-mailservere udnyttes aktivt, og der er endnu ingen permanent rettelse.
Microsoft offentliggjorde sårbarheden den 15. maj 2026 og bekræftede samtidig, at ukendte hackere allerede misbruger den. Fejlen sidder i Outlook på web, den browserbaserede udgave af Outlook, som mange danske virksomheder og offentlige instanser stadig bruger til at læse mail på egne servere.
Hullet har fået betegnelsen CVE-2026-42897 og en farevurdering på 8,1 ud af 10 på den internationale CVSS-skala, ifølge Infosecurity Magazine. Det rammer alle nuværende udgaver af Exchange Server 2016, 2019 og den nye Subscription Edition. Den cloud-baserede version, Exchange Online, er ikke berørt.
Sådan virker angrebet
Det skræmmende ved sårbarheden er, hvor lidt der skal til. Microsoft forklarer mekanismen sådan i en udtalelse gengivet af Help Net Security: “En angriber kan udnytte fejlen ved at sende en specialdesignet mail til en bruger. Hvis brugeren åbner mailen i Outlook på web, og bestemte betingelser er opfyldt, kan vilkårlig JavaScript-kode køre i browseren.”
I praksis betyder det, at en hacker kan kapre en session, stjæle data fra postkassen eller manipulere det, brugeren ser, alene fordi vedkommende har åbnet en mail.
Microsoft har endnu ikke udsendt en permanent rettelse. I en udtalelse til SecurityWeek anbefaler selskabet i mellemtiden, at kunder aktiverer virksomhedens nødberedskab, kaldet Exchange Emergency Mitigation Service.
Hvad er on-premises Exchange?
Når sikkerhedsforskere taler om “on-premises Exchange”, mener de en mailserver, som organisationen selv driver på egne servere, ofte i et serverrum eller datacenter. Det står i modsætning til Exchange Online, hvor Microsoft selv står for driften som en cloud-tjeneste.
Mange danske organisationer kører stadig egne Exchange-servere af hensyn til kontrol, lovgivning eller ældre integrationer. Det er netop disse installationer, der nu er i fare. Cloud-kunder hos Microsoft 365 kan ånde lettet op.
Sårbarheden bekymrer eksperter, fordi den udnyttes lige nu. “Fordi den allerede misbruges aktivt, er det ikke en situation, hvor man kan vente til næste uge med at patche. Det er et akut problem, der skal afbødes med det samme,” siger teknologianalytikeren Rob Enderle til CSO Online.
Sådan tjekker du din arbejdsplads
Som almindelig medarbejder kan du ikke selv aflæse, om jeres mailserver er ramt, men du kan stille tre konkrete spørgsmål til IT-afdelingen:
1. Kører vi vores egen Exchange-server, eller er vi på Exchange Online i Microsoft 365? Hvis svaret er det første, er I i risikogruppen. 2. Er Exchange Emergency Mitigation Service slået til? Tjenesten er som standard aktiveret og udruller automatisk Microsofts midlertidige beskyttelse, men flere administratorer slår den fra, fordi den kan forstyrre features som udskrivning af kalender og indlejrede billeder. 3. Bruger vi det Exchange On-premises Mitigation Tool, hvis vores servere er afskåret fra nettet? Microsoft har udgivet et script, der dækker dem, som ikke kan modtage de automatiske opdateringer.
Hvis IT-afdelingen ikke kender til CVE-2026-42897, er det i sig selv et rødt flag. Microsofts vejledning er offentlig og er publiceret af Exchange-teamet samme dag, som sårbarheden blev kendt.
Sikkerhedsforskeren Johannes Ullrich peger på en mere langsigtet pointe: “On-premises Exchange er på vej til at blive et legacy-produkt, og selv om nogle organisationer har brug for det til intern og udgående post, bør angrebsfladen begrænses.”
For brugerne gælder det indtil videre om at være ekstra varsom med uventede mails i Outlook på web og rapportere mistænkelige beskeder til IT, før de åbnes.
