Notebookcheck Logo

Microsoft Exchange Server zero-day uitgebuit via bewerkte e-mail

De fout CVE-2026-42897 is gericht op de Outlook Web Access-interface op on-premises Exchange Server.
ⓘ rawpixel.com
De fout CVE-2026-42897 is gericht op de Outlook Web Access-interface op on-premises Exchange Server.
Microsoft bevestigt actieve exploitatie van Exchange Server zero-day CVE-2026-42897 via bewerkte e-mail zonder permanente patch beschikbaar voor on-prem implementaties.
Security Software Windows Microsoft Desktop Laptop / Notebook

Microsoft heeft bevestigd dat er actief gebruik wordt gemaakt van CVE-2026-42897, een zero-day in on-premises Exchange Server waarmee aanvallers arbitraire JavaScript kunnen uitvoeren in de browser van een slachtoffer door een bewerkte e-mail te verzenden. Er bestaat geen permanente patch. Microsoft heeft op 14 mei een noodoplossing uitgerold en CISA heeft de fout de volgende dag toegevoegd aan de lijst met bekende geëxploiteerde kwetsbaarheden en eist van federale instanties dat ze het probleem vóór 29 mei verhelpen. Exchange Online wordt niet beïnvloed.

Wat CVE-2026-42897 doet

CVE-2026-42897 is een cross-site scripting fout in de Outlook Web Access component van on-premises Microsoft Exchange Server, beoordeeld met CVSS 8.1. Een aanvaller stuurt een speciaal ontworpen e-mail naar een doelwit. Wanneer de ontvanger deze opent in OWA onder bepaalde interactievoorwaarden, wordt willekeurig JavaScript uitgevoerd in de browsersessie.

Microsoft classificeert de kwetsbaarheid als een spoofing-probleem dat zijn oorsprong vindt in onjuiste invoerneutralisatie tijdens het genereren van webpagina's. Het aanvalspad vereist geen verificatie of servertoegang. Het begint met een inbox.

Wie wordt getroffen

Het lek treft on-premises Exchange Server 2016, Exchange Server 2019 en Exchange Server Subscription Edition op elk updateniveau. Exchange Online is niet kwetsbaar.

On-premise Exchange vormt het middelpunt van zakelijke e-mail voor overheden, financiële instellingen en bedrijven die niet naar de cloud zijn verhuisd. In de catalogus met bekende geëxploiteerde kwetsbaarheden van CISA staan al bijna twee dozijn zwakke plekken in Exchange Server, en ransomware-groepen hebben er verschillende misbruikt om doelwitten binnen te dringen. CVE-2026-42897 kwam slechts twee dagen na Patch Tuesday van mei, waarbij 120 kwetsbaarheden werden gepatcht maar geen zero-days werden vrijgegeven in de release notes.

Het probleem verhelpen

Microsoft implementeerde een tijdelijke oplossing via zijn Exchange Emergency Mitigation Servicemet het label M2.1.x. De EEMS past de beperking automatisch toe via de URL-herschrijfconfiguratie op Exchange Mailbox-servers waar de service standaard is ingeschakeld. Beheerders kunnen de status controleren met behulp van het Exchange Health Checker-script op aka.ms/ExchangeHealthChecker.

Voor air-gapped of losgekoppelde omgevingen waar EEMS de servers van Microsoft niet kan bereiken, moeten beheerders de nieuwste Exchange On-premises Mitigation Tool handmatig downloaden en uitvoeren via een verhoogde Exchange Management Shell. De opdracht is gericht op een enkele server of kan in één keer op de volledige Exchange-vloot worden uitgevoerd.

Er is één cosmetisch probleem waar u rekening mee moet houden. Op sommige servers wordt de mitigatiestatus weergegeven als "Mitigation invalid for this exchange version" in het beschrijvingsveld. Microsoft bevestigt dat de fix in deze gevallen correct is toegepast als in de statuskolom "Toegepast" staat. De displaytekst is een bekende cosmetische bug die wordt onderzocht.

Neveneffecten van de beperking

Het toepassen van de fix heeft functionele gevolgen. De OWA-afdrukkalenderfunctie werkt niet meer nadat de beperking is toegepast. Inline afbeeldingen worden niet langer correct weergegeven in de leesvensters van ontvangers in Outlook Web Access.

OWA Light, de oude interface die toegankelijk is via een URL die eindigt op /?layout=light, stopt ook met werken nadat de beperking van toepassing is. Microsoft heeft deze interface al jaren geleden afgeschreven en beschouwt deze niet als productierijp, maar organisaties die deze interface nog steeds gebruiken, moeten gebruikers in plaats daarvan omleiden via de standaard OWA URL.

Nog geen permanente patch

Microsoft is bezig met de ontwikkeling van een permanente fix en heeft nog geen release tijdlijn bevestigd. Wanneer deze beschikbaar is, zal Exchange Server Subscription Edition deze ontvangen via het standaard updatekanaal. Exchange Server 2016 en 2019 krijgen de permanente patch alleen via het Period 2 Extended Security Update-programma van Microsoft.

Organisaties die een oudere versie uitvoeren zonder ESU-inschrijving blijven blootgesteld totdat ze de noodmitigatie handmatig toepassen. CISA voegde CVE-2026-42897 op 15 mei toe aan de catalogus met bekende geëxploiteerde kwetsbaarheden en vereist dat federale civiele uitvoerende instanties de kwetsbaarheden voor 29 mei verhelpen. Microsoft heeft de bedreigingsactoren achter de actieve aanvallen niet geïdentificeerd en heeft ook niet bekendgemaakt welke organisaties het doelwit van de aanvallers waren.

De timing van CVE-2026-42897 bevindt zich aan de andere kant van de levenscyclus van kwetsbaarheden dan proactieve ontdekking. Het MDASH AI-model van Microsoft identificeerde onlangs 16 kritieke Windows-fouten voordat aanvallers ze konden bereiken, een detectieaanpak die CVE-2026-42897 volledig omzeilde.

Google LogoAdd as a preferred source on Google
Mail Logo

Gelijkaardige Artikels

> Overzichten en testrapporten over laptops en mobieltjes > Nieuws > Nieuws Archief > Nieuws archieven 2026 05 > Microsoft Exchange Server zero-day uitgebuit via bewerkte e-mail
Darryl Linington, 2026-05-17 (Update: 2026-05-17)