48 timer fra «første zero-day-frie Patch Tuesday siden 2024» til Exchange OWA i CISA KEV

Den 13. mai 2026 publiserte Microsoft sin første zero-day-frie Patch Tuesday siden juni 2024 — 118 CVE-er, ingen aktivt utnyttede. Det ble feiret. To dager senere varslet Microsoft aktiv utnyttelse av CVE-2026-42897 i Exchange Server. CISA la den i KEV-katalogen dagen etter. Den strategiske leksjonen er at patch-syklusen aldri var sikkerhetsstrategien — den var konsekvensen av en.

TL;DR

  • 13. mai 2026: Microsoft Patch Tuesday, 118 CVE-er, første utgivelse uten aktive zero-days siden juni 2024. Bredt feiret som «modning» av sikkerhetsøkosystemet.
  • 14. mai 2026: Microsoft varsler aktiv utnyttelse av CVE-2026-42897 i Exchange Server OWA. CVSS 8.1, spoofing via XSS i Outlook Web Access. Ingen patch tilgjengelig.
  • 15. mai 2026: CISA legger CVE-2026-42897 til KEV-katalogen. FCEB-frist: 29. mai 2026.
  • Berørte versjoner: Exchange Server 2016, 2019, Subscription Edition. Exchange Online er ikke berørt.
  • Microsoft har levert automatisk mitigering via Exchange Emergency Mitigation Service (EMS). EMS er aktivert som standard siden september 2021. Mitigeringen heter CVE-2026-42897-M2.
  • Den større leksjonen handler ikke om Exchange. Den handler om at sikkerhetsmodellen som baserer seg på «patch når Microsoft slipper patch» har en innebygd dødssone, og at de organisasjonene som har modnet, har gjort det ved å bygge kontroller som virker mellom patch-syklusene.

Hva skjedde

13. mai 2026 publiserte Microsoft Patch Tuesday med 118 CVE-er, 16 klassifisert som kritiske. For første gang siden juni 2024 var det ingen aktivt utnyttede zero-days i utgivelsen. Sikkerhetspressen plukket opp narrativet umiddelbart: en mer moden Microsoft, en mer moden bransje, en sjelden måned uten panikk.

48 timer senere, 14. mai, publiserte Microsoft en out-of-band-melding om CVE-2026-42897, en spoofing-svakhet i Exchange Server Outlook Web Access som er aktivt utnyttet i målrettede angrep. Mekanismen er XSS via spesialformede e-poster: når en mottaker åpner meldingen i OWA, kan vilkårlig JavaScript kjøres i nettleserens kontekst og misbrukes til å lekke autentiseringstokens, manipulere innhold eller maskere phishing som intern kommunikasjon. CVSS-scoren ble satt til 8.1.

Dagen etter, 15. mai, la CISA sårbarheten til sin Known Exploited Vulnerabilities-katalog med en frist for amerikanske føderale etater den 29. mai. Microsoft har ikke utstedt en formell patch per i dag, den vil etter all sannsynlighet komme i en kommende sikkerhetsoppdatering. Det som er tilgjengelig akkurat nå er den temporære mitigeringen som Exchange Emergency Mitigation Service ruller ut automatisk.

Det er et stykke god ingeniørkunst fra Microsofts side at EMS i det hele tatt eksisterer og at den fungerer slik den gjør, peker mot et viktig strategisk poeng som jeg vil komme tilbake til.

Hvorfor dette betyr mer enn enda en Exchange-zero-day

Exchange har en uheldig historie som zero-day-mål. ProxyLogon, ProxyShell, ProxyNotShell, og en lang rekke andre mellom 2021 og 2025. Den umiddelbare reaksjonen i mange organisasjoner er treg, fordi følelsen er: «vi har vært her før, vi vet hva vi gjør».

For det første skifter angrepsmønsteret. ProxyLogon var massescanning og automatisert utnyttelse, bredde over dybde. CVE-2026-42897 er foreløpig observert i målrettede angrep, hvor angriperen velger mottaker og preparerer e-posten med kunnskap om miljøet. Det er en angrepstype som setter spesifikke verdier i fare: utenriksdepartementer, advokatfirmaer, energiselskaper, leverandører til kritisk infrastruktur. Den bruker en kanal, en e-post sendt til en ansatt som ingen «redusér angrepsoverflaten»-tiltak realistisk kan stenge ned. Bedriften skal motta e-post. Det er hele poenget.

For det andre er timingen i denne saken den egentlige nyheten. På 48 timer gikk vi fra «første zero-day-frie Patch Tuesday siden 2024» til «aktiv utnyttelse, ingen patch, mitigation by configuration». Det er ikke en anomali, det er den nye normen. Zero-days oppstår mellom patch-syklusene, ikke i dem. Patch Tuesday er ikke der sikkerheten skjer; det er der dokumentasjonen av den skjer.

For sikkerhetsledere som har solgt patch-managementet inn til ledelsen som strategien, ikke som ett virkemiddel av flere, er dette en regning som forfaller. Spørsmålet ledelsen vil stille når neste hendelse treffer er ikke «hvor mange patch-er rullet vi ut?» det er «hva beskyttet oss mellom patch 12. mai og hva som måtte komme i juni?».

Den tekniske mekanismen (for de som vil ha detaljene)

Angrepets natur. CVE-2026-42897 er en spoofing-svakhet som utnytter en XSS-bug i OWA. Angriperen sender en spesialformet e-post. Innholdet inneholder JavaScript-payload pakket på en måte som unngår OWAs sanitisering. Når mottakeren åpner meldingen i nettleseren, kjøres skriptet i OWA-konteksten. Det betyr at det har tilgang til mottakerens session, kan utføre handlinger på vegne av brukeren, kan lekke autentiseringsdata eller manipulere visning av andre meldinger.

Hvorfor det er alvorlig selv om CVSS er «bare» 8.1. Scoren reflekterer at angrepet krever brukerinteraksjon og mottakeren må åpne e-posten. I praksis er den interaksjonen forventet og uunngåelig: målrettede angrep mot saksbehandlere som forventes å lese alle e-postene som kommer inn. Score-modellen undervurderer alltid målrettede angrep mot pliktoppfyllende brukere.

Berørte versjoner. Exchange Server 2016, 2019, og Subscription Edition. Exchange Online er ikke berørt. den deler ikke OWA-kodebasen som inneholder svakheten. Hybrid-deployments er berørt på on-premises-delen.

Mitigeringen, hva EMS faktisk gjør. Den automatiske mitigeringen (CVE-2026-42897-M2, internt M2.1.x) gjør to ting på Exchange-serverens IIS:

  1. Den endrer URL Rewrite-konfigurasjonen på serveren for å blokkere tilgang til de spesifikke OWA-stiene som er involvert i utnyttelsen.
  2. Den legger til en midlertidig IIS-modul som sanitiserer innkommende forespørsler til øvrige OWA-stier, den fanger og fjerner ondsinnede serialiserte payloads før de når den sårbare deserialiseringskoden.

Det er en kompenserende kontroll levert som kode og patch-aktig i sin teknikk, men levert utenfor patch-kjeden. Det er den viktige forskjellen.

Kjente bivirkninger. Print Calendar i OWA fungerer ikke etter mitigeringen som workaround anbefaler Microsoft å eksportere data eller bruke Outlook-skrivebordsklienten. Inline-bilder vises ikke alltid riktig i mottakerens lese-rute workaround er å sende bilder som vedlegg. OWA Light (en utdatert komponent) fungerer ikke; den er likevel ikke ment for produksjonsbruk.

Verifisering. Kommandoen Get-ExchangeServer | Get-ExchangeEmergencyMitigation i Exchange Management Shell viser hvilke mitigeringer som er aktive. Du skal se CVE-2026-42897-M2 listet. Exchange Health Checker-skriptet (https://aka.ms/ExchangeHealthChecker) gir samme svar med mer kontekst.

Hva du bør gjøre denne uken

Disse anbefalingene gjelder organisasjoner som driver Exchange Server 2016, 2019 eller Subscription Edition on-premises eller i hybrid-konfigurasjon.

  1. Verifiser at EMS er aktiv og at mitigeringen er rullet ut. Kjør Get-ExchangeServer | Get-ExchangeEmergencyMitigation i Exchange Management Shell. Du skal se CVE-2026-42897-M2 som aktiv. Hvis ikke, sjekk om EMS er deaktivert (det skal være på som standard) og om serveren har internett-tilgang til Microsofts mitigation-feed. EMS krever utgående HTTPS til officecdn.microsoft.com.
  2. Hvis EMS ikke kan brukes , kjør EOMT manuelt. I luftgapede miljøer eller hvor EMS er deaktivert av kompenserende grunner, last ned Exchange On-premises Mitigation Tool (EOMT) og kjør den med CVE-spesifikk parameter på hver Exchange-server. EOMT er signert av Microsoft og kjøres i Exchange Management Shell med administrative rettigheter.
  3. Aksepter de kjente bivirkningene, kommuniser dem til brukerne. Print Calendar i OWA er midlertidig brutt. Inline-bilder i lese-ruten kan bli feilrendret. Send en kort melding til OWA-brukere som forklarer at dette er kjente effekter av en sikkerhetsmitigering og at det vil normaliseres når Microsoft slipper full patch. Det er en mye bedre samtale enn den du må ha hvis en saksbehandler klikker på en preparert e-post fordi vi ikke kommuniserte risikoen.
  4. Sjekk logger for bakoverrettede spor av utnyttelse. Microsoft har ikke publisert formelle IoC-er, men XSS-utnyttelse i OWA etterlater seg spor i IIS-loggene og i Exchange ECP/OWA audit logs. Hunt etter unormale referrers fra OWA-mail-visninger, mistenkelige messageid-mønstre, og uventet OAuth-token-bruk fra mailbox-kontoer. SOC Prime og andre threat intel-leverandører publiserer hunting-regler. Centrios SA inneholder ferdige KQL-spørringer for Defender XDR.
  5. Modne overvåkingen rundt OWA generelt. OWA er en vedvarende angrepsoverflate som er vanskelig å sikre med standard nettverkskontroller. Hvis ikke du allerede kjører Conditional Access med device compliance, MFA og for høyverdiroller sertifikat-basert autentisering mot OWA, er dette tidspunktet å akselerere den planen. Zero Trust på e-post-plattformen er ikke et ambisiøst sluttmål lenger; det er minstekravet for å overleve denne typen hendelser.
  6. Vurder å midlertidig stenge ekstern OWA-tilgang for høyrisikobrukere. For ledelsen, juridisk avdeling, forskere og andre med eksponert profil, bruk Conditional Access til å begrense OWA-tilgang til kjente, klarerte enheter inntil Microsoft slipper full patch. Det er en samtale med berørte brukere som er enklere å føre denne uken enn etter en bekreftet kompromittering.

Patch-syklusen er ikke strategien. Den er output av strategien.

Her er det jeg synes er viktigst med denne hendelsen, og hvorfor jeg skriver om det.

Microsofts Emergency Mitigation Service er det interessante elementet i hele historien. EMS ble lansert i september 2021, etter ProxyShell, som et eksplisitt arkitektonisk grep: Microsoft erkjente offentlig at patch-syklusen var for treg for trusselbildet rundt Exchange. EMS er en kompenserende kontroll levert som tjeneste, designet for å levere midlertidige beskyttelser i tidsrommet mellom oppdagelse og full patch.

Det er en innrømmelse av at sikkerhetsmodellen som kun baserer seg på «patch når leverandøren slipper patch» har en strukturell svakhet, en dødssone og at denne sonen må fylles med noe annet.

Det «noe annet» har et navn i de etablerte rammeverkene. I CIS Critical Security Controls v8 heter det Control 7 — Continuous Vulnerability Management. Merk ordene: continuous og management. Ikke periodic patching. Ikke quarterly review. Continuous management innebærer at organisasjonen har:

  • Løpende sårbarhetsskanning som ikke venter på patch-syklusen for å fortelle deg hva som er eksponert.
  • En definert prosess for kompenserende kontroller, virtuelle patcher, WAF-regler, segmentering, konfigurasjonsendringer, som kan rulles ut mellom patch-syklusene.
  • En risikoprosess som vurderer eksponering kontinuerlig, ikke en gang i måneden når Microsoft minner deg på det.

Det er den samme arkitekturen som NSMs grunnprinsipper for IKT-sikkerhet beskriver i 2.3 («Beskytt enheter og programvare») og 3.3 («Oppdag») sikkerhet som lag, hvor hvert lag antar at de andre kan svikte. Det er den samme tenkningen som ligger bak Zero Trust: ikke stol på at perimeteret holder, ikke stol på at endepunktet er rent, ikke stol på at patch-syklusen rekker.

CVE-2026-42897 er en god illustrasjon av hva det betyr i praksis. Organisasjoner som har lykkes med å holde Exchange-flåten sin trygg gjennom de siste fire årene er ikke organisasjoner som har vært raskere til å patche, det er organisasjoner som har bygget et lag over og under patch-laget:

  • Over: Conditional Access, MFA, segmentering av OWA fra resten av infrastrukturen, gjest-konto-isolasjon.
  • Under: EDR-deteksjon på Exchange-serveren, IIS-log-overvåking, e-postsigneringsverifikasjon, web-application-firewall foran OWA.

Disse lagene gjør at en zero-day i OWA er en hendelse, ikke en katastrofe. Det er forskjellen mellom «vi mitigerer i 24 timer og venter på patch» og «vi har en breach å håndtere».

Et siste poeng

EMS er gode nyheter for de som driver Exchange. Men det er også en advarsel.

Microsoft har, gjennom å bygge EMS, fortalt deg eksplisitt at de ikke stoler på at patch-syklusen er nok. Det er den mest verdifulle informasjonen i hele denne saken er at en leverandør som lever av at kundene stoler på patch-prosessen deres har bygget en parallel struktur som forutsetter at den prosessen vil svikte.

Hvis Microsoft ikke stoler på patch-syklusen for Exchange, bør ikke du stole på den for noe annet heller. Det er ikke en bebreidelse av Microsoft; det er en realistisk vurdering av en kompleks angrepsoverflate i et raskt trusselbilde. Det er det samme valget hver enkelt sikkerhetsleder må ta for sin egen plattform, Active Directory, Citrix, VPN-gateways, identitetsprovidere, ERP-systemer, OT-nettverk.

Patch-syklusen er fortsatt nødvendig. Den er bare ikke tilstrekkelig. Den var aldri ment å være det. CVE-2026-42897 er bare den siste anledningen til å minne om det.

nLogic Security

Denne artikkelen om CVE-2026-42897 er utarbeidet av Kim Hansen, sikkerhetsrådgiver hos Centrio AS, i samarbeid med nLogic Security, sikkerhetsteamet i nLogic.

Teamet arbeider med sikkerhetsarkitektur, identitetskontroller, endpoint-sikkerhet, deteksjon og operasjonell sikkerhet i komplekse virksomhetsmiljøer.

Arbeidet handler ikke bare om teknologi, men om å forstå hvordan sikkerhetskontroller faktisk oppfører seg når de møter reelle trusler, nye angrepsmetoder og operative kompromisser.

Disse artiklene er en del av nLogics arbeid med kunnskapsdeling, analyse og praktisk risikoreduksjon i moderne virksomhetsmiljøer.

Powered by Knowledge. Driven by Trust.

En tilhørende teknisk Security Advisory på engelsk, med KQL-spørringer for Defender XDR Advanced Hunting, PowerShell-skript for EMS-verifisering, EOMT-prosedyrer for luftgapede miljøer, og full CIS Controls v8-mapping er tilgjengelig som .docx og .pdf fra nLogic AS.

Last ned Security Advisor for artikkelen

Ta kontakt for mer informasjon

Foto av Thomas Brodersen.

Thomas Brodersen

thomas.brodersen@nlogic.no
+47 958 30 108