Microsoft heeft een kwetsbaarheid in Exchange Server gerepareerd, die actief werd misbruikt om willekeurige JavaScript-code uit te voeren via cross-site scripting (XSS) aanvallen op Outlook Web Access gebruikers.

Deze ernstige kwetsbaarheid (CVE-2026-42897) treft Exchange Server 2016, 2019, en de Subscription Edition (SE) en kan door externe aanvallers zonder enige rechten worden uitgebuit.

“Een aanvaller kan deze kwetsbaarheid benutten door een speciaal geprepareerde e-mail naar een gebruiker te sturen. Als de gebruiker de e-mail in Outlook Web Access opent en aan bepaalde voorwaarden wordt voldaan, kan willekeurige JavaScript in de browser worden uitgevoerd,” aldus het Exchange Team in mei, toen Microsoft automatische tijdelijke maatregelen uitrolde via de Exchange Emergency Mitigation Service (EEMS).

BleepingComputer heeft nog geen reactie van Microsoft ontvangen op vragen over de aanvallen die CVE-2026-42897 uitbuiten.

Gisteren heeft Microsoft beveiligingsupdates uitgebracht om het veiligheidsprobleem in de getroffen Exchange Server-installaties aan te pakken en raadt beheerders aan deze “zo snel mogelijk” te implementeren, terwijl de tijdelijke maatregelen behouden blijven voor extra bescherming.

“Microsoft adviseert om de beveiligingsupdates van juni 2026 voor uw versie van Exchange Server zo snel mogelijk te installeren om beschermd te zijn tegen deze kwetsbaarheid,” stond in de update van het originele beveiligingsadvies.

“Als onderdeel van onze voortdurende inspanningen om de beveiliging te versterken en de verdediging te verbeteren, blijven we de bescherming tegen cross-site scripting-aanvallen uitbreiden. We raden klanten aan om de beschreven maatregelen gehandhaafd te houden. Deze bieden een extra beschermingslaag en zorgen voor voortdurende bescherming terwijl verdere verbeteringen worden doorgevoerd.”

De Cybersecurity and Infrastructure Security Agency heeft de kwetsbaarheid ook toegevoegd aan haar lijst van beveiligingsfouten die actief worden uitgebuit sinds 15 mei en heeft Amerikaanse overheidsinstanties opgedragen hun servers binnen twee weken te patchen, uiterlijk 29 mei.

In de afgelopen vijf jaar heeft CISA 20 Exchange Server-kwetsbaarheden van Microsoft aan zijn lijst toegevoegd, waarvan er 14 zijn uitgebuit door ransomware-groepen.

In oktober, kort nadat de ondersteuning voor Exchange 2016 en 2019 was beëindigd, gaven CISA en de Nationale Veiligheidsdienst (NSA) ook richtlijnen uit om Exchange-servers beter te beveiligen tegen aanvallen.