Microsoft Exchange Server heeft een ernstig beveiligingslek. Het gaat om CVE-2026-42897, een kwetsbaarheid in Outlook Web Access (OWA). Het Amerikaanse cybersecurityagentschap CISA waarschuwt dat aanvallers dit lek al actief misbruiken. Microsoft roept alle organisaties op om snel maatregelen te nemen. Het bedrijf bevestigde het lek en bracht een tijdelijke maatregel uit via de Exchange Emergency Mitigation Service (EEMS).
Het beveiligingslek maakt zogeheten cross-site scripting (XSS) mogelijk. Een aanvaller stuurt een speciaal opgemaakt e-mailbericht naar een doelwit. Als het doelwit dit bericht opent in Outlook Web Access, voert de browser willekeurige JavaScript-code uit. Dit treft Exchange Server Subscription Edition, 2016 en 2019. Microsoft raadt beheerders aan om de EEMS-dienst in te schakelen. Beheerders moeten wel rekening houden met bijwerkingen. OWA toont ingesloten afbeeldingen soms niet correct in het leesvenster. Ook werkt de printfunctie van de OWA-kalender mogelijk niet meer. Als tijdelijke oplossing kunnen gebruikers de Outlook-desktopapp gebruiken.
Eerder deze week bracht Microsoft al 137 beveiligingsupdates uit via Patch Tuesday. Opvallend was dat er geen zero-days bij zaten. Twee dagen later, op 14 mei, maakte Microsoft het Exchange-lek alsnog bekend. Dat maakt het een bijzonder zware week op het gebied van cyberbeveiliging.
Tijdens het Pwn2Own-hackingevenement in Berlijn ging het er ook hard aan toe. Op de eerste dag troffen hackers Windows 11 met maar liefst drie zero-day-exploits. Op dag twee ketenden aanvallers drie Exchange-kwetsbaarheden samen. Zo verkregen ze volledige SYSTEM-rechten op afstand, een zeldzame prestatie. Het team van Orange Tsai van DEVCORE Research Team ontving daarvoor 200.000 dollar. Microsoft maakt de technische details pas na 90 dagen openbaar, zodat het bedrijf tijd krijgt voor een officiële patch.
