Teknologi
Microsoft slår alarm: Exchange-hull utnyttes nå via vanlig e-post
En aktivt utnyttet sårbarhet i Microsoft Exchange Server lar angripere kjøre skadelig JavaScript i offerets nettleser via en e-post.
Microsoft bekreftet 14. mai at hullet, kjent som CVE-2026-42897, blir misbrukt i reelle angrep, og selskapet har foreløpig ingen permanent oppdatering klar. Det amerikanske direktoratet for cybersikkerhet CISA har gitt føderale etater frist til 29. mai med å beskytte seg.
Sårbarheten rammer alle oppdateringsnivåer av Exchange Server 2016, Exchange Server 2019 og Exchange Server Subscription Edition. Skytjenesten Exchange Online er ikke berørt.
Slik ser angrepet ut for brukeren
Angripere sender en spesialutformet e-post til offeret. Når mottakeren åpner meldingen i Outlook Web Access (OWA), den nettleserbaserte versjonen av Exchange, og enkelte interaksjonsbetingelser oppfylles, kjøres skadelig JavaScript i nettleseren.
Konsekvensene kan være kapring av økten, tyveri av legitimasjon og kompromittering av postkassen. Fordi koden kjører i brukerens nettleserkontekst, kan angriperen i praksis opptre som offeret mot Exchange-systemet.
Hvem er rammet
Sårbarheten gjelder kun lokalt installerte Exchange-servere, ikke Microsofts skytjeneste. Typiske norske mål er dermed offentlige virksomheter, helseforetak, advokatkontorer, industriselskaper og andre som av regulatoriske grunner fortsatt drifter egen e-postløsning.
Microsoft jobber fortsatt med en permanent rettelse. I mellomtiden er det kun midlertidige tiltak som beskytter eksponerte servere.
Slik handler IT-sjefen nå
For organisasjoner som allerede har Microsofts Exchange Emergency Mitigation Service (EEMS) påslått, rulles en midlertidig beskyttelse ut automatisk i form av en URL-omskrivingsregel i webserveren IIS.
For miljøer som ikke kan motta automatisk oppdatering, for eksempel servere uten internettforbindelse, må administratorer kjøre verktøyet Exchange On-Premises Mitigation Tool manuelt. En kjent visuell feil kan vise meldingen om at tiltaket ikke er gyldig for Exchange-versjonen, men status «Applied» betyr at beskyttelsen er aktiv.
CISA gir kort frist
CISA la sårbarheten inn i listen Known Exploited Vulnerabilities allerede 15. mai. Føderale sivile etater må ifølge Binding Operational Directive 22-01 være beskyttet innen 29. mai.
Feilen skyldes mangelfull rensing av brukerinndata før innholdet vises i nettleseren, slik at en angriper kan få e-postinnhold til å bli tolket som kjørbart skript i mottakerens OWA-økt.
Google bekrefter Aluminium OS: Android-laptop med Gemini overtar for Chromebook i butikk
Biltyver stjeler nå biler uten nøkler på under ett minutt
Spillrykte løftet Take-Two med 2 milliarder dollar, så snudde det
Google avslører stor Android Auto-oppdatering: Bilskjermen blir aldri den samme igjen
De fleste elbileiere forstår fortsatt ikke ladenivåer
Kjøreforbud kan bli aktuelt for flere seniorer: Fra denne alderen får de ikke lenger kjøre bil
De fleste bilister aner det ikke: Bakruten skjuler et triks nesten ingen bruker
Hvis PIN-koden din står på denne listen, må du bestille et nytt kort med en gang
Du må venne deg til nye trafikkskilt: Her kan du snart få lov til å kjøre 150 kilometer i timen
