Lokale Microsoft Exchange Server CVE-2026-42897 benut via vervaardigde e-mail

Cyberbeveiliging
Lokale Microsoft Exchange Server CVE-2026-42897 benut via vervaardigde e-mail

Microsoft heeft een nieuw beveiligingsprobleem onthuld dat van invloed is op lokale versies van Exchange Server en dat naar eigen zeggen actief in het wild wordt uitgebuit.

De kwetsbaarheid, bijgehouden als CVE-2026-42897 (CVSS-score: 8,1), is beschreven als een spoofing-bug die voortkomt uit een cross-site scriptingfout. Een anonieme onderzoeker is gecrediteerd voor het ontdekken en rapporteren van het probleem.

“Onjuiste neutralisatie van invoer tijdens het genereren van webpagina’s (‘cross-site scripting’) in Microsoft Exchange Server zorgt ervoor dat een ongeautoriseerde aanvaller spoofing over een netwerk kan uitvoeren”, zei de technologiegigant donderdag in een advies.

Microsoft, dat de kwetsbaarheid heeft gelabeld met een ‘Exploitation Detected’-beoordeling, zegt dat een aanvaller de kwetsbaarheid kan bewapenen door een vervaardigde e-mail naar een gebruiker te sturen, die, wanneer deze wordt geopend in Outlook Web Access en afhankelijk van andere ‘bepaalde interactievoorwaarden’, het mogelijk kan maken dat willekeurige JavaScript-code wordt uitgevoerd in de context van de webbrowser.

Redmond merkte ook op dat het een tijdelijke oplossing biedt via zijn Exchange Emergency Mitigation Service, terwijl het bezig is met het voorbereiden van een permanente oplossing voor het beveiligingsprobleem.

De Exchange Emergency Mitigation Service zorgt automatisch voor de beperking via een configuratie voor het herschrijven van URL’s en is standaard ingeschakeld. Het staat niet aan, gebruikers wordt geadviseerd de Windows-service in te schakelen.

Volgens Microsoft heeft Exchange Online geen last van dit beveiligingslek. De volgende on-premises Exchange Server-versies worden getroffen:

  • Exchange Server 2016 (elk updateniveau)
  • Exchange Server 2019 (elk updateniveau)
  • Exchange Server Subscription Edition (SE) (elk updateniveau)

Als het gebruik van de Exchange Emergency Mitigation Service geen optie is vanwege luchtspletenbeperkingen, heeft het bedrijf de volgende reeks acties uiteengezet:

  • Download de nieuwste versie van de Exchange on-premises Mitigation Tool (EOMT) van ook bekend als(.)ms/UnifiedEOMT.
  • Pas de beperking per server toe of op alle servers tegelijk door het script uit te voeren via een verhoogde Exchange Management Shell (EMS):
    • Enkele server: .EOMT.ps1 -CVE “CVE-2026-42897”
    • Alle servers: Get-ExchangeServer | Where-Object { $_.ServerRole -ne “Edge” } | .EOMT.ps1 -CVE “CVE-2026-42897”

Microsoft zei dat het ook op de hoogte is van een bekend probleem waarbij de beperking de melding “Mitigatie ongeldig voor deze uitwisselingsversie” weergeeft in het veld Beschrijving. “Dit probleem is cosmetisch en de oplossing is WEL van toepassing als de status wordt weergegeven als ‘Toegepast'”, aldus het Exchange-team. “We onderzoeken hoe we dit kunnen aanpakken.”

Er zijn momenteel geen details over de manier waarop de kwetsbaarheid wordt uitgebuit, de identiteit van de dreigingsactoren achter de activiteit of de omvang van dergelijke inspanningen. Het is ook onduidelijk wie de doelwitten zijn en of een van deze aanvallen succesvol was. In de tussentijd wordt u aangeraden de door Microsoft aanbevolen maatregelen toe te passen.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

CISA voegt Cisco SD-WAN CVE-2026-20182 toe aan KEV na misbruik van beheerderstoegang

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]