CVE-2026-42897: actief misbruikte Exchange zero-day bereikt uw mailbox via één e-mail
Actief misbruikte Exchange zero-day XXS kwetsbaarheid
Een aanvaller hoeft u alleen een speciaal opgestelde e-mail te sturen om uw Exchange-mailbox te compromitteren. De kwetsbaarheid werd op 14 mei ontdekt en is inmiddels gepatcht — maar alleen als u de juiste versie draait én de update heeft geïnstalleerd.
Overzicht
| Kenmerk | Details |
|---|---|
| CVE | CVE-2026-42897 |
| CVSS | 8.1 (Hoog) |
| Getroffen systemen | Exchange Server 2016, 2019, Subscription Edition |
| Exchange Online | Niet getroffen |
| Patch beschikbaar | Ja — juni 2026 Security Update |
| CISA KEV | Ja — toegevoegd 15 mei 2026 |
| Actief misbruikt | Bevestigd door Microsoft |
Wat is het?
CVE-2026-42897 is een XSS-kwetsbaarheid (cross-site scripting) in Microsoft Exchange Server die spoofing mogelijk maakt via Outlook Web Access (OWA). De kwetsbaarheid treft Exchange Server Subscription Edition, 2016 en 2019.
Een aanvaller kan de kwetsbaarheid misbruiken door een speciaal opgestelde e-mail naar een gebruiker te sturen. Als de gebruiker de e-mail opent in Outlook Web Access en aan bepaalde interactievoorwaarden wordt voldaan, kan willekeurige JavaScript-code worden uitgevoerd in de browsercontext.
Exchange Online is niet getroffen — dit is uitsluitend een risico voor organisaties die Exchange on-premises draaien.
Waarom "gewoon XSS" gevaarlijker is dan het klinkt
XSS staat bekend als een basiskwetsbaarheid — het staat al jaren op de OWASP Top 10 en wordt door sommige security-teams als "junior" beschouwd. Dat is precies waarom het zo effectief blijft.
Beveiligingsonderzoeker Tiron stelde dat XSS "nog steeds enterprise mail domineert in 2026" en waarschuwde: "De saaie kwetsbaarheden zijn de kwetsbaarheden die blijven werken."
In de context van Exchange OWA maakt dat verschil: OWA draait in de browser van de gebruiker, heeft toegang tot sessiecookies en authenticatiecontext, en wordt door vrijwel alle medewerkers vertrouwd. Een succesvolle XSS-aanval in OWA geeft een aanvaller toegang tot de mailboxinhoud, contacten en mogelijk inloggegevens — alles wat in de browsercontext beschikbaar is.
Tijdlijn
| Datum | Gebeurtenis |
|---|---|
| 14 mei 2026 | Microsoft publiceert advisory, bevestigt actief misbruik |
| 15 mei 2026 | CISA voegt CVE toe aan Known Exploited Vulnerabilities-catalogus |
| 15 mei 2026 | EEMS-mitigatie automatisch uitgerold voor organisaties met EM Service ingeschakeld |
| 29 mei 2026 | Deadline CISA voor federale instanties |
| 9 juni 2026 | Microsoft brengt permanente patch uit via juni 2026 Security Update |
Mitigatie en patch
Stap 1: controleer EEMS-status
Voor organisaties met de Exchange Emergency Mitigation Service (EEMS) ingeschakeld heeft Microsoft automatisch mitigatie uitgerold voor Exchange Server 2016, 2019 en SE. U kunt controleren of de mitigatie (ID: M2.1.x) is toegepast via de Exchange Health Checker via https://aka.ms/ExchangeHealthChecker.
Stap 2: installeer de permanente patch
Op 9 juni 2026 bracht Microsoft beveiligingsupdates uit voor CVE-2026-42897 en raadt klanten aan de update zo snel mogelijk te installeren. Microsoft adviseert ook de EEMS-mitigatie actief te houden naast de patch als extra verdedigingslaag.
Stap 3: schakel EEMS in als dat nog niet het geval is
Als EEMS momenteel uitgeschakeld is, raadt Microsoft aan dit direct in te schakelen. EEMS biedt automatische mitigaties voor toekomstige kwetsbaarheden en is voor on-premises Exchange de snelste verdedigingslinie.
Stap 4: ESU-klanten opgelet
De permanente fix voor Exchange 2016 en 2019 is alleen beschikbaar voor Period 2 ESU-klanten. Draait u een versie zonder actieve ondersteuning? Dan is migratie naar Exchange SE of Exchange Online de enige structurele oplossing.
Wat dit patroon ons leert
CVE-2026-42897 past in een breder patroon dat we dit jaar ook zagen bij Palo Alto GlobalProtect en Fortinet FortiClient: aanvallers richten zich op vertrouwde communicatie- en beheersystemen, omdat dat de systemen zijn waar gebruikers en beheerders hun bewaker laten zakken.
Een e-mail die binnenkomt via Exchange is per definitie "verwacht". Een OWA-sessie voelt vertrouwd. Dat vertrouwen is precies de aanvalsvector.
De kwetsbaarheid vereist gebruikersinteractie — de gebruiker moet de e-mail openen in OWA. Dat klinkt als een beperking, maar in de praktijk opent vrijwel iedereen e-mail. De drempel is laag.
Aanbevolen acties
- Installeer de juni 2026 Security Update op alle on-premises Exchange-servers
- Controleer EEMS-status via Exchange Health Checker en schakel in indien uitgeschakeld
- Houd de EEMS-mitigatie actief naast de permanente patch
- Inventariseer Exchange-versies — organisaties op 2016/2019 zonder ESU Period 2 hebben geen toegang tot de patch
- Overweeg migratie naar Exchange SE of Exchange Online voor structurele oplossing
Bronnen
- Microsoft Community Hub – Addressing Exchange Server May 2026 vulnerability CVE-2026-42897
- Help Net Security – Unpatched Microsoft Exchange Server vulnerability exploited
- Bleeping Computer – Microsoft warns of Exchange zero-day flaw exploited in attacks
- Dark Reading – Microsoft Exchange Zero-Day Under Attack, No Patch Available
- The Hacker News – On-Prem Microsoft Exchange Server CVE-2026-42897
- Security.nl – Microsoft komt met update voor actief aangevallen XSS-lek in Exchange Server