48 timer fra «første zero-day-frie Patch Tuesday siden 2024» til Exchange OWA i CISA KEV

OPPDATERT 10. JUNI 2026: Microsoft slapp den permanente sikkerhetsoppdateringen 9. juni 2026 (juni 2026 SU, MSRC-revisjon 2.0). Artikkelen under står som publisert — analysen og hovedpoenget er uendret. Se «Oppdatering 9. juni 2026» nederst for KB-numre per Exchange-versjon og hva du gjør nå.

TL;DR

• 12. mai 2026: Microsoft Patch Tuesday, 118 CVE-er, første utgivelse uten aktive zero-days siden juni 2024. Bredt feiret som «modning» av sikkerhetsøkosystemet.
• 14. mai 2026: Microsoft varsler aktiv utnyttelse av CVE-2026-42897 i Exchange Server OWA. CVSS 8.1, spoofing via XSS i Outlook Web Access. Ingen patch tilgjengelig på publiseringstidspunktet — permanent patch sluppet 9. juni 2026 (se oppdatering nederst).
• 15. mai 2026: CISA legger CVE-2026-42897 til KEV-katalogen. FCEB-frist: 29. mai 2026.
• Berørte versjoner: Exchange Server 2016, 2019, Subscription Edition. Exchange Online er ikke berørt.
• Microsoft har levert automatisk mitigering via Exchange Emergency Mitigation Service (EMS). EMS er aktivert som standard siden september 2021. Mitigeringen heter CVE-2026-42897-M2.
• Den større leksjonen handler ikke om Exchange. Den handler om at sikkerhetsmodellen som baserer seg på «patch når Microsoft slipper patch» har en innebygd dødssone, og at de organisasjonene som har modnet, har gjort det ved å bygge kontroller som virker mellom patch-syklusene.

Hva skjedde

12. mai 2026 publiserte Microsoft Patch Tuesday med 118 CVE-er, 16 klassifisert som kritiske. For første gang siden juni 2024 var det ingen aktivt utnyttede zero-days i utgivelsen. Sikkerhetspressen plukket opp narrativet umiddelbart: en mer moden Microsoft, en mer moden bransje, en sjelden måned uten panikk.

48 timer senere, 14. mai, publiserte Microsoft en out-of-band-melding om CVE-2026-42897, en spoofing-svakhet i Exchange Server Outlook Web Access som er aktivt utnyttet i målrettede angrep. Mekanismen er XSS via spesialformede e-poster: når en mottaker åpner meldingen i OWA, kan vilkårlig JavaScript kjøres i nettleserens kontekst og misbrukes til å lekke autentiseringstokens, manipulere innhold eller maskere phishing som intern kommunikasjon. CVSS-scoren ble satt til 8.1.

Dagen etter, 15. mai, la CISA sårbarheten til sin Known Exploited Vulnerabilities-katalog med en frist for amerikanske føderale etater den 29. mai. Microsoft hadde ved publisering ikke utstedt en formell patch — den kom 9. juni 2026 som del av juni-sikkerhetsoppdateringene (se oppdatering nederst). Det som er tilgjengelig akkurat nå er den temporære mitigeringen som Exchange Emergency Mitigation Service ruller ut automatisk.

Det er et stykke god ingeniørkunst fra Microsofts side at EMS i det hele tatt eksisterer og at den fungerer slik den gjør, peker mot et viktig strategisk poeng som jeg vil komme tilbake til.

Hvorfor dette betyr mer enn enda en Exchange-zero-day

Exchange har en uheldig historie som zero-day-mål. ProxyLogon, ProxyShell, ProxyNotShell, og en lang rekke andre mellom 2021 og 2025. Den umiddelbare reaksjonen i mange organisasjoner er treg, fordi følelsen er: «vi har vært her før, vi vet hva vi gjør».

For det første skifter angrepsmønsteret. ProxyLogon var massescanning og automatisert utnyttelse, bredde over dybde. CVE-2026-42897 er foreløpig observert i målrettede angrep, hvor angriperen velger mottaker og preparerer e-posten med kunnskap om miljøet. Det er en angrepstype som setter spesifikke verdier i fare: utenriksdepartementer, advokatfirmaer, energiselskaper, leverandører til kritisk infrastruktur. Den bruker en kanal, en e-post sendt til en ansatt som ingen «redusér angrepsoverflaten»-tiltak realistisk kan stenge ned. Bedriften skal motta e-post. Det er hele poenget.

For det andre er timingen i denne saken den egentlige nyheten. På 48 timer gikk vi fra «første zero-day-frie Patch Tuesday siden 2024» til «aktiv utnyttelse, ingen patch, mitigation by configuration». Det er ikke en anomali, det er den nye normen. Zero-days oppstår mellom patch-syklusene, ikke i dem. Patch Tuesday er ikke der sikkerheten skjer; det er der dokumentasjonen av den skjer.

For sikkerhetsledere som har solgt patch-managementet inn til ledelsen som strategien, ikke som ett virkemiddel av flere, er dette en regning som forfaller. Spørsmålet ledelsen vil stille når neste hendelse treffer er ikke «hvor mange patch-er rullet vi ut?» det er «hva beskyttet oss mellom patch 12. mai og hva som måtte komme i juni?».

Den tekniske mekanismen (for de som vil ha detaljene)

Angrepets natur. CVE-2026-42897 er en spoofing-svakhet som utnytter en XSS-bug i OWA. Angriperen sender en spesialformet e-post. Innholdet inneholder JavaScript-payload pakket på en måte som unngår OWAs sanitisering. Når mottakeren åpner meldingen i nettleseren, kjøres skriptet i OWA-konteksten. Det betyr at det har tilgang til mottakerens session, kan utføre handlinger på vegne av brukeren, kan lekke autentiseringsdata eller manipulere visning av andre meldinger.

Hvorfor det er alvorlig selv om CVSS er «bare» 8.1. Scoren reflekterer at angrepet krever brukerinteraksjon og mottakeren må åpne e-posten. I praksis er den interaksjonen forventet og uunngåelig: målrettede angrep mot saksbehandlere som forventes å lese alle e-postene som kommer inn. Score-modellen undervurderer alltid målrettede angrep mot pliktoppfyllende brukere.

Berørte versjoner. Exchange Server 2016, 2019, og Subscription Edition. Exchange Online er ikke berørt. den deler ikke OWA-kodebasen som inneholder svakheten. Hybrid-deployments er berørt på on-premises-delen.

Mitigeringen, hva EMS faktisk gjør. Den automatiske mitigeringen (CVE-2026-42897-M2, internt M2.1.x) gjør to ting på Exchange-serverens IIS:

1. Den endrer URL Rewrite-konfigurasjonen på serveren for å blokkere tilgang til de spesifikke OWA-stiene som er involvert i utnyttelsen.
2. Den injiserer en Content-Security-Policy (CSP)-header i OWA-responsen som blokkerer at det innbakte skriptet i en preparert melding kjøres i nettleserens OWA-kontekst når mottakeren åpner meldingen.

Det er en kompenserende kontroll levert som kode og patch-aktig i sin teknikk, men levert utenfor patch-kjeden. Det er den viktige forskjellen.

Kjente bivirkninger. Print Calendar i OWA fungerer ikke etter mitigeringen som workaround anbefaler Microsoft å eksportere data eller bruke Outlook-skrivebordsklienten. Inline-bilder vises ikke alltid riktig i mottakerens lese-rute workaround er å sende bilder som vedlegg. OWA Light (en utdatert komponent) fungerer ikke; den er likevel ikke ment for produksjonsbruk.

Viktig begrensning (lagt til av Microsoft 18. mai 2026, MSRC-revisjon 1.1). Mitigeringen bygger på en Content-Security-Policy (CSP)-header. Internet Explorer og Microsoft Edge i IE-modus støtter ikke CSP, og OWA åpnet i disse nettleserne er derfor ikke beskyttet selv etter at mitigeringen er rullet ut. Microsoft anbefaler eksplisitt å ikke bruke Internet Explorer (eller IE-modus) mot OWA så lenge serverne ikke er oppdatert med juni 2026 SU. I regulerte og offentlige miljøer som fortsatt kjører IE-modus er dette en reell, ubeskyttet angrepsflate — blokker IE-modus mot OWA via nettleserpolicy eller Conditional Access.

Verifisering. Kommandoen Get-ExchangeServer | Get-ExchangeEmergencyMitigation i Exchange Management Shell viser hvilke mitigeringer som er aktive. Du skal se CVE-2026-42897-M2 listet. Exchange Health Checker-skriptet (https://aka.ms/ExchangeHealthChecker) gir samme svar med mer kontekst.

Hva du bør gjøre denne uken

Disse anbefalingene gjelder organisasjoner som driver Exchange Server 2016, 2019 eller Subscription Edition on-premises eller i hybrid-konfigurasjon.

1. Verifiser at EMS er aktiv og at mitigeringen er rullet ut. Kjør Get-ExchangeServer | Get-ExchangeEmergencyMitigation i Exchange Management Shell. Du skal se CVE-2026-42897-M2 som aktiv. Hvis ikke, sjekk om EMS er deaktivert (det skal være på som standard) og om serveren har internett-tilgang til Microsofts mitigation-feed. EMS krever utgående HTTPS til officecdn.microsoft.com.
2. Hvis EMS ikke kan brukes , kjør EOMT manuelt. I luftgapede miljøer eller hvor EMS er deaktivert av kompenserende grunner, last ned Exchange On-premises Mitigation Tool (EOMT) og kjør den med CVE-spesifikk parameter på hver Exchange-server. EOMT er signert av Microsoft og kjøres i Exchange Management Shell med administrative rettigheter.
3. Aksepter de kjente bivirkningene, kommuniser dem til brukerne. Print Calendar i OWA er midlertidig brutt. Inline-bilder i lese-ruten kan bli feilrendret. Send en kort melding til OWA-brukere som forklarer at dette er kjente effekter av en sikkerhetsmitigering og at det normaliseres når juni 2026-oppdateringen (sluppet 9. juni) er installert og mitigeringen fjernet. Det er en mye bedre samtale enn den du må ha hvis en saksbehandler klikker på en preparert e-post fordi vi ikke kommuniserte risikoen.
4. Sjekk logger for bakoverrettede spor av utnyttelse. Microsoft har ikke publisert formelle IoC-er, men XSS-utnyttelse i OWA etterlater seg spor i IIS-loggene og i Exchange ECP/OWA audit logs. Hunt etter unormale referrers fra OWA-mail-visninger, mistenkelige messageid-mønstre, og uventet OAuth-token-bruk fra mailbox-kontoer. SOC Prime og andre threat intel-leverandører publiserer hunting-regler. Centrios SA inneholder ferdige KQL-spørringer for Defender XDR.
5. Modne overvåkingen rundt OWA generelt. OWA er en vedvarende angrepsoverflate som er vanskelig å sikre med standard nettverkskontroller. Hvis ikke du allerede kjører Conditional Access med device compliance, MFA og for høyverdiroller sertifikat-basert autentisering mot OWA, er dette tidspunktet å akselerere den planen. Zero Trust på e-post-plattformen er ikke et ambisiøst sluttmål lenger; det er minstekravet for å overleve denne typen hendelser.
6. Vurder å midlertidig stenge ekstern OWA-tilgang for høyrisikobrukere. For ledelsen, juridisk avdeling, forskere og andre med eksponert profil, bruk Conditional Access til å begrense OWA-tilgang til kjente, klarerte enheter inntil juni 2026-oppdateringen er installert. Det er en samtale med berørte brukere som er enklere å føre denne uken enn etter en bekreftet kompromittering.

Patch-syklusen er ikke strategien. Den er output av strategien.

Her er det jeg synes er viktigst med denne hendelsen, og hvorfor jeg skriver om det.

Microsofts Emergency Mitigation Service er det interessante elementet i hele historien. EMS ble lansert i september 2021, etter ProxyShell, som et eksplisitt arkitektonisk grep: Microsoft erkjente offentlig at patch-syklusen var for treg for trusselbildet rundt Exchange. EMS er en kompenserende kontroll levert som tjeneste, designet for å levere midlertidige beskyttelser i tidsrommet mellom oppdagelse og full patch.

Det er en innrømmelse av at sikkerhetsmodellen som kun baserer seg på «patch når leverandøren slipper patch» har en strukturell svakhet, en dødssone og at denne sonen må fylles med noe annet.

Det «noe annet» har et navn i de etablerte rammeverkene. I CIS Critical Security Controls v8 heter det Control 7 — Continuous Vulnerability Management. Merk ordene: continuous og management. Ikke periodic patching. Ikke quarterly review. Continuous management innebærer at organisasjonen har:

• Løpende sårbarhetsskanning som ikke venter på patch-syklusen for å fortelle deg hva som er eksponert.
• En definert prosess for kompenserende kontroller, virtuelle patcher, WAF-regler, segmentering, konfigurasjonsendringer, som kan rulles ut mellom patch-syklusene.
• En risikoprosess som vurderer eksponering kontinuerlig, ikke en gang i måneden når Microsoft minner deg på det.

Det er den samme arkitekturen som NSMs grunnprinsipper for IKT-sikkerhet beskriver i 2.3 («Beskytt enheter og programvare») og 3.3 («Oppdag») sikkerhet som lag, hvor hvert lag antar at de andre kan svikte. Det er den samme tenkningen som ligger bak Zero Trust: ikke stol på at perimeteret holder, ikke stol på at endepunktet er rent, ikke stol på at patch-syklusen rekker.

CVE-2026-42897 er en god illustrasjon av hva det betyr i praksis. Organisasjoner som har lykkes med å holde Exchange-flåten sin trygg gjennom de siste fire årene er ikke organisasjoner som har vært raskere til å patche, det er organisasjoner som har bygget et lag over og under patch-laget:

• Over: Conditional Access, MFA, segmentering av OWA fra resten av infrastrukturen, gjest-konto-isolasjon.
• Under: EDR-deteksjon på Exchange-serveren, IIS-log-overvåking, e-postsigneringsverifikasjon, web-application-firewall foran OWA.

Disse lagene gjør at en zero-day i OWA er en hendelse, ikke en katastrofe. Det er forskjellen mellom «vi mitigerer i 24 timer og venter på patch» og «vi har en breach å håndtere».

Et siste poeng

EMS er gode nyheter for de som driver Exchange. Men det er også en advarsel.

Microsoft har, gjennom å bygge EMS, fortalt deg eksplisitt at de ikke stoler på at patch-syklusen er nok. Det er den mest verdifulle informasjonen i hele denne saken er at en leverandør som lever av at kundene stoler på patch-prosessen deres har bygget en parallel struktur som forutsetter at den prosessen vil svikte.

Hvis Microsoft ikke stoler på patch-syklusen for Exchange, bør ikke du stole på den for noe annet heller. Det er ikke en bebreidelse av Microsoft; det er en realistisk vurdering av en kompleks angrepsoverflate i et raskt trusselbilde. Det er det samme valget hver enkelt sikkerhetsleder må ta for sin egen plattform, Active Directory, Citrix, VPN-gateways, identitetsprovidere, ERP-systemer, OT-nettverk.

Patch-syklusen er fortsatt nødvendig. Den er bare ikke tilstrekkelig. Den var aldri ment å være det. CVE-2026-42897 er bare den siste anledningen til å minne om det.

Oppdatering 9. juni 2026: Patchen er her – hva gjør du nå

Microsoft slapp 9. juni 2026 de permanente sikkerhetsoppdateringene som fikser CVE-2026-42897 (MSRC-revisjon 2.0).

Oppdateringene finnes for følgende versjoner: 

• Exchange Server Subscription Edition RTM — KB5094139, build 15.02.2562.043 (offentlig tilgjengelig via Microsoft Download Center)

• Exchange Server 2019 CU15 — KB5094140, build 15.02.1748.046 (krever Period 2 ESU)

• Exchange Server 2019 CU14 — KB5094142, build 15.02.1544.041 (krever Period 2 ESU)

• Exchange Server 2016 CU23 — KB5094144, build 15.01.2507.069 (krever Period 2 ESU) 

Tre ting er verdt å merke seg:

For det første: Exchange 2016- og 2019-oppdateringene er kun tilgjengelige for organisasjoner som er påmeldt Period 2 Extended Security Update-programmet (gyldig mai–oktober 2026). Er du ikke det, får du ikke patchen — da er migrering til Exchange SE veien videre.

For det andre: Microsoft anbefaler å beholde EMS-mitigeringen også etter at oppdateringen er installert — den fjernes ikke automatisk, og de kjente bivirkningene i OWA forsvinner først når oppdateringen er installert og mitigeringen fjernes manuelt.

For det tredje: servere som ikke oppdateres til juni 2026 SU mister evnen til å hente nye EMS-mitigeringer fra juli 2026 på grunn av en endring på tjenestesiden. 

Og så det strategiske poenget, som står seg: det tok 26 dager fra aktiv utnyttelse ble bekreftet til permanent patch forelå. I de 26 dagene var det EMS-mitigeringen — den kompenserende kontrollen levert mellom patch-syklusene — som beskyttet Exchange-miljøene.

nLogic Security

Denne artikkelen om CVE-2026-42897 er utarbeidet av Kim Hansen, sikkerhetsrådgiver hos Centrio AS, i samarbeid med nLogic Security, sikkerhetsteamet i nLogic.

Teamet arbeider med sikkerhetsarkitektur, identitetskontroller, endpoint-sikkerhet, deteksjon og operasjonell sikkerhet i komplekse virksomhetsmiljøer.

Arbeidet handler ikke bare om teknologi, men om å forstå hvordan sikkerhetskontroller faktisk oppfører seg når de møter reelle trusler, nye angrepsmetoder og operative kompromisser.

Disse artiklene er en del av nLogics arbeid med kunnskapsdeling, analyse og praktisk risikoreduksjon i moderne virksomhetsmiljøer.

Powered by Knowledge. Driven by Trust.

En tilhørende teknisk Security Advisory på engelsk, med KQL-spørringer for Defender XDR Advanced Hunting, PowerShell-skript for EMS-verifisering, EOMT-prosedyrer for luftgapede miljøer, og full CIS Controls v8-mapping er tilgjengelig som .docx og .pdf fra nLogic AS.

Ta kontakt for mer informasjon