CVE-2026-42897: Aktivt utnyttet XSS-sårbarhet i Exchange Server
CISA varsler om CVE-2026-42897, en cross-site scripting-sårbarhet i Microsoft Exchange Server som aktivt utnyttes. Bedrifter har frist til 29. mai med å sikre sine systemer.
Hva er CVE-2026-42897?
CVE-2026-42897 er en cross-site scripting (XSS)-sårbarhet i Microsoft Exchange Server. XSS høres kanskje mindre dramatisk ut enn andre trusler, men undervurder det ikke. Sårbarheten oppstår når Exchange genererer websider i Outlook Web Access, og under visse interaksjonsforhold kan angripere smugle inn ondsinnet JavaScript som kjører i konteksten til brukerens nettleser.
I praksis betyr det at en angriper kan få kontroll over en autentisert brukers sesjon. De kan stjele innloggingstokens, lese e-post, sende meldinger på vegne av brukeren, eller hoppe videre inn i andre systemer brukeren har tilgang til. OWA har typisk tilgang til sensitive bedriftsdata, og mange brukere logger inn med administratorrettigheter.
Microsoft kategoriserer sårbarheten som CWE-79, standardkoden for improper neutralization of input during web page generation. Det fancy navnet for «vi validerte ikke inputen skikkelig før vi viste den i nettleseren».
Hvorfor står den på CISA KEV?
CISA Known Exploited Vulnerabilities Catalog er ikke en omfattende liste over alle CVE-er. Det er en kurert liste over sårbarheter som aktivt utnyttes mot amerikanske systemer. Når CISA legger til en CVE, har de observert faktiske angrep.
CVE-2026-42897 ble lagt til 15. mai 2026 med en to-ukers frist. Det signaliserer alvorlighetsgrad. CISA setter normalt 21 dagers frister, men her er det 14 dager. Det indikerer at angrepene allerede er utbredte, eller at utnyttelsen er så enkel at alle som vil kan kopiere den.
Vi vet ikke om CVE-2026-42897 brukes i ransomware-kampanjer ennå. CISA har markert det som «Unknown». Men historisk har Exchange-sårbarheter vært en inngangsport for nettopp ransomware. ProxyShell, ProxyLogon, ProxyNotShell, alle utnyttet Exchange-feil for å gi angripere initial access til bedriftsnettverk.
Hvem er i faresonen?
Alle organisasjoner som kjører Microsoft Exchange Server on-premises med Outlook Web Access aktivert er eksponert. Det gjelder ikke Exchange Online (Microsoft 365), som Microsoft administrerer og patcher automatisk. Men mange norske bedrifter, spesielt større virksomheter og offentlige etater, kjører fortsatt Exchange lokalt.
Hvis dine ansatte kan logge inn på e-post via en webside på egen domene (f.eks. mail.bedrift.no), kjører dere sannsynligvis Exchange on-prem. Da må dere handle nå.
Hva må du gjøre?
Microsoft har publisert en sikkerhetsveiledning på MSRC Update Guide. CISA-instruksjonen er krystallklar: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Det betyr tre alternativer:
- Patcher systemet i henhold til Microsofts veiledning. Sjekk om det finnes en kumulative oppdatering (CU) for din Exchange-versjon og installer den umiddelbart.
- Aktiver Exchange Emergency Mitigation Service hvis patch ikke er tilgjengelig ennå. Microsoft lanserte denne tjenesten etter ProxyShell-debaclet i 2021, og den kan automatisk rulle ut midlertidige tiltak uten full patching. Les mer på Microsofts dokumentasjon.
- Skru av OWA hvis du ikke trenger det, eller begrens tilgangen drastisk. Ikke alle bedrifter må ha webmail eksponert eksternt. Vurder å kreve VPN for OWA-tilgang.
Fristen er 29. mai 2026. Det er ikke en anbefaling, det er en federal pålegg til amerikanske etater, og du bør behandle den som din egen absolutte deadline. Selv om du ikke er underlagt BOD 22-01, vet du at angriperne leser samme liste som deg. De vet at noen ikke rekker det, og de skanner allerede.
Bredere perspektiv: Exchange som angrepsvektor
Exchange Server har vært et yndet mål de siste årene fordi det kombinerer tre attraktive egenskaper: det er ekstremt utbredt, det er ofte eksponert mot internett, og det har høy verdi som inngangsport. En kompromittert Exchange-server gir ikke bare tilgang til e-post, men også Active Directory-credentials, mulighet til å sende phishing internt, og ofte lateral movement til resten av nettverket.
Microsoft har jobbet hardt med å forbedre Exchange-sikkerheten, men realiteten er at mange bedrifter kjører utdaterte versjoner uten automatisk patching. Det skaper en vedvarende attack surface.
Hvis din bedrift fortsatt kjører Exchange on-prem, er nå et godt tidspunkt å vurdere migrering til Exchange Online. Ikke fordi cloud er magisk sikker, men fordi Microsoft tar seg av patching og overvåkning på dine vegne. Du slipper å våkne til CISA-varsler midt i patching-vinduet.
Hva Sentinel ikke kan hjelpe med her
Sentinel overvåker ikke CVE-er eller kobler programvare til sårbarheter. Vi scanner ikke din Exchange-server for utdatert versjon. Det er utenfor scope for plattformen vår.
Det vi kan hjelpe med er å overvåke konsekvensene av et eventuelt innbrudd. Hvis angripere utnytter CVE-2026-42897 til å stjele credentials, vil våre HIBP-varsler fange opp det hvis passordet dukker opp i en lekkasje. Hvis de oppretter nye subdomener for phishing eller C2, fanger CT-log-overvåkningen det. Hvis de endrer DNS-poster eller SSL-sertifikater, ser vi det innen én time.
Men primærforsvaret mot CVE-2026-42897 er patching. Gjør det nå.
Konklusjon
CVE-2026-42897 er en aktivt utnyttet sårbarhet i et kritisk bedriftssystem. Den står på CISA KEV-listen, som betyr at angripere allerede er i gang. Du har til 29. mai med å fikse det.
Sjekk din Exchange-versjon i dag. Les Microsofts veiledning. Planlegg patching eller aktiver Emergency Mitigation Service. Og hvis du ikke trenger OWA eksponert eksternt, skru det av.
Ikke vent. De som angriper, gjør det ikke.