CVE-2026-42897

CVE-2026-42897: actief misbruikte Exchange zero-day bereikt uw mailbox via één e-mail

Actief misbruikte Exchange zero-day XXS kwetsbaarheid

Een aanvaller hoeft u alleen een speciaal opgestelde e-mail te sturen om uw Exchange-mailbox te compromitteren. De kwetsbaarheid werd op 14 mei ontdekt en is inmiddels gepatcht — maar alleen als u de juiste versie draait én de update heeft geïnstalleerd.


Overzicht

Kenmerk Details
CVE CVE-2026-42897
CVSS 8.1 (Hoog)
Getroffen systemen Exchange Server 2016, 2019, Subscription Edition
Exchange Online Niet getroffen
Patch beschikbaar Ja — juni 2026 Security Update
CISA KEV Ja — toegevoegd 15 mei 2026
Actief misbruikt Bevestigd door Microsoft

Wat is het?

CVE-2026-42897 is een XSS-kwetsbaarheid (cross-site scripting) in Microsoft Exchange Server die spoofing mogelijk maakt via Outlook Web Access (OWA). De kwetsbaarheid treft Exchange Server Subscription Edition, 2016 en 2019.

Een aanvaller kan de kwetsbaarheid misbruiken door een speciaal opgestelde e-mail naar een gebruiker te sturen. Als de gebruiker de e-mail opent in Outlook Web Access en aan bepaalde interactievoorwaarden wordt voldaan, kan willekeurige JavaScript-code worden uitgevoerd in de browsercontext.

Exchange Online is niet getroffen — dit is uitsluitend een risico voor organisaties die Exchange on-premises draaien.


Waarom "gewoon XSS" gevaarlijker is dan het klinkt

XSS staat bekend als een basiskwetsbaarheid — het staat al jaren op de OWASP Top 10 en wordt door sommige security-teams als "junior" beschouwd. Dat is precies waarom het zo effectief blijft.

Beveiligingsonderzoeker Tiron stelde dat XSS "nog steeds enterprise mail domineert in 2026" en waarschuwde: "De saaie kwetsbaarheden zijn de kwetsbaarheden die blijven werken."

In de context van Exchange OWA maakt dat verschil: OWA draait in de browser van de gebruiker, heeft toegang tot sessiecookies en authenticatiecontext, en wordt door vrijwel alle medewerkers vertrouwd. Een succesvolle XSS-aanval in OWA geeft een aanvaller toegang tot de mailboxinhoud, contacten en mogelijk inloggegevens — alles wat in de browsercontext beschikbaar is.


Tijdlijn

Datum Gebeurtenis
14 mei 2026 Microsoft publiceert advisory, bevestigt actief misbruik
15 mei 2026 CISA voegt CVE toe aan Known Exploited Vulnerabilities-catalogus
15 mei 2026 EEMS-mitigatie automatisch uitgerold voor organisaties met EM Service ingeschakeld
29 mei 2026 Deadline CISA voor federale instanties
9 juni 2026 Microsoft brengt permanente patch uit via juni 2026 Security Update

Mitigatie en patch

Stap 1: controleer EEMS-status

Voor organisaties met de Exchange Emergency Mitigation Service (EEMS) ingeschakeld heeft Microsoft automatisch mitigatie uitgerold voor Exchange Server 2016, 2019 en SE. U kunt controleren of de mitigatie (ID: M2.1.x) is toegepast via de Exchange Health Checker via https://aka.ms/ExchangeHealthChecker.

Stap 2: installeer de permanente patch

Op 9 juni 2026 bracht Microsoft beveiligingsupdates uit voor CVE-2026-42897 en raadt klanten aan de update zo snel mogelijk te installeren. Microsoft adviseert ook de EEMS-mitigatie actief te houden naast de patch als extra verdedigingslaag.

Stap 3: schakel EEMS in als dat nog niet het geval is

Als EEMS momenteel uitgeschakeld is, raadt Microsoft aan dit direct in te schakelen. EEMS biedt automatische mitigaties voor toekomstige kwetsbaarheden en is voor on-premises Exchange de snelste verdedigingslinie.

Stap 4: ESU-klanten opgelet

De permanente fix voor Exchange 2016 en 2019 is alleen beschikbaar voor Period 2 ESU-klanten. Draait u een versie zonder actieve ondersteuning? Dan is migratie naar Exchange SE of Exchange Online de enige structurele oplossing.


Wat dit patroon ons leert

CVE-2026-42897 past in een breder patroon dat we dit jaar ook zagen bij Palo Alto GlobalProtect en Fortinet FortiClient: aanvallers richten zich op vertrouwde communicatie- en beheersystemen, omdat dat de systemen zijn waar gebruikers en beheerders hun bewaker laten zakken.

Een e-mail die binnenkomt via Exchange is per definitie "verwacht". Een OWA-sessie voelt vertrouwd. Dat vertrouwen is precies de aanvalsvector.

De kwetsbaarheid vereist gebruikersinteractie — de gebruiker moet de e-mail openen in OWA. Dat klinkt als een beperking, maar in de praktijk opent vrijwel iedereen e-mail. De drempel is laag.


Aanbevolen acties

  1. Installeer de juni 2026 Security Update op alle on-premises Exchange-servers
  2. Controleer EEMS-status via Exchange Health Checker en schakel in indien uitgeschakeld
  3. Houd de EEMS-mitigatie actief naast de permanente patch
  4. Inventariseer Exchange-versies — organisaties op 2016/2019 zonder ESU Period 2 hebben geen toegang tot de patch
  5. Overweeg migratie naar Exchange SE of Exchange Online voor structurele oplossing

Bronnen